Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek uvádí anomálie, které Microsoft Sentinel detekuje pomocí různých modelů strojového učení.
Detekce anomálií funguje tak, že analyzuje chování uživatelů v prostředí v určitém časovém období a vytváří základní hodnoty legitimní aktivity. Po vytvoření směrného plánu se jakákoli aktivita mimo normální parametry považuje za neobvyklou a proto podezřelou.
Microsoft Sentinel používá k vytvoření standardních hodnot a detekci anomálií dva různé modely.
Poznámka:
Od 26. března 2024 jsou kvůli nízké kvalitě výsledků ukončeny následující detekce anomálií:
- Doménová reputace Palo Alto anomálie
- Přihlášení do více oblastí během jednoho dne prostřednictvím palo Alto GlobalProtect
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu, včetně pro zákazníky bez licence Microsoft Defender XDR nebo E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Anomálie UEBA
Sentinel UEBA detekuje anomálie na základě dynamických směrných plánů vytvořených pro každou entitu napříč různými vstupy dat. Základní chování každé entity je nastaveno podle vlastních historických aktivit, podle jejich partnerských vztahů a podle chování organizace jako celku. Anomálie se dají aktivovat korelací různých atributů, jako je typ akce, geografické umístění, zařízení, prostředek, ISP a další.
Aby se zjistily anomálie UEBA, musíte povolit funkci UEBA .
- Odebrání neobvyklého přístupu k účtu
- Neobvyklé vytvoření účtu
- Neobvyklé odstranění účtu
- Neobvyklá manipulace s účtem
- Neobvyklé spuštění kódu (UEBA)
- Neobvyklé zničení dat
- Neobvyklá úprava obranného mechanismu
- Neobvyklé neúspěšné přihlášení
- Neobvyklé resetování hesla
- Udělená neobvyklá oprávnění
- Neobvyklé přihlášení
Odebrání neobvyklého přístupu k účtu
Popis: Útočník může přerušit dostupnost systémových a síťových prostředků blokováním přístupu k účtům používaným legitimními uživateli. Útočník může odstranit, uzamknout nebo manipulovat s účtem (například změnou přihlašovacích údajů) a odebrat přístup k němu.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly aktivit Azure |
| Taktika MITRE ATT&CK: | Dopad |
| Techniky MITRE ATT&CK: | T1531 – Odebrání přístupu k účtu |
| Aktivita: | Microsoft.Authorization/přiřazeníRol/odstranit Odhlášení ze systému |
Zpět na seznam | Zpět na začátek
Neobvyklé vytvoření účtu
Popis: Nežádoucí uživatelé mohou vytvořit účet pro zachování přístupu k cílovým systémům. Při dostatečné úrovni přístupu je možné vytvořit tyto účty k vytvoření sekundárního přístupu s přihlašovacími údaji bez nutnosti nasazení trvalých nástrojů vzdáleného přístupu do systému.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly auditu Microsoft Entra |
| Taktika MITRE ATT&CK: | Uchování |
| Techniky MITRE ATT&CK: | T1136 – Vytvoření účtu |
| Dílčí techniky MITRE ATT&CK: | Cloudový účet |
| Aktivita: | Základní adresář/ UserManagement/Přidat uživatele |
Zpět na seznam | Zpět na začátek
Neobvyklé odstranění účtu
Popis: Nežádoucí uživatelé mohou přerušit dostupnost systémových a síťových prostředků tím, že brání přístupu k účtům využívaným legitimními uživateli. Účty mohou být odstraněny, uzamčeny nebo manipulovány (např. změněné přihlašovací údaje), aby se odebral přístup k účtům.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly auditu Microsoft Entra |
| Taktika MITRE ATT&CK: | Dopad |
| Techniky MITRE ATT&CK: | T1531 – Odebrání přístupu k účtu |
| Aktivita: | Základní adresář/ UserManagement/Delete user Základní adresář, zařízení/ odstranění uživatele Základní adresář/ UserManagement/Delete user |
Zpět na seznam | Zpět na začátek
Neobvyklá manipulace s účtem
Popis: Nežádoucí osoba může manipulovat s účty za účelem zachování přístupu k cílovým systémům. Mezi tyto akce patří přidání nových účtů do skupin s vysokými oprávněními. Dragonfly 2.0 například přidal nově vytvořené účty do skupiny administrators pro zachování zvýšeného přístupu. Následující dotaz vygeneruje výstup všech uživatelů s vysokou úrovní výbuchu, kteří provádějí "aktualizaci uživatele" (změna názvu) na privilegovanou roli nebo uživatele, kteří změnili uživatele poprvé.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly auditu Microsoft Entra |
| Taktika MITRE ATT&CK: | Uchování |
| Techniky MITRE ATT&CK: | T1098 – Manipulace s účtem |
| Aktivita: | Základní adresář/ UserManagement/Aktualizace uživatele |
Zpět na seznam | Zpět na začátek
Neobvyklé spuštění kódu (UEBA)
Popis: Nežádoucí osoby mohou zneužít interprety příkazů a skriptů ke spouštění příkazů, skriptů nebo binárních souborů. Tato rozhraní a jazyky poskytují způsoby interakce s počítačovými systémy a jsou běžnou funkcí na mnoha různých platformách.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly aktivit Azure |
| Taktika MITRE ATT&CK: | Provádění |
| Techniky MITRE ATT&CK: | T1059 – interpret příkazů a skriptování |
| Dílčí techniky MITRE ATT&CK: | PowerShell |
| Aktivita: | Microsoft.Compute/virtualMachines/runCommand/action |
Zpět na seznam | Zpět na začátek
Neobvyklé zničení dat
Popis: Nežádoucí osoba může zničit data a soubory v konkrétních systémech nebo ve velkém počtu v síti, aby přerušila dostupnost systémů, služeb a síťových prostředků. Zničení dat pravděpodobně vykreslí uložená data nenapravitelnými forenzními technikami prostřednictvím přepisování souborů nebo dat na místních a vzdálených jednotkách.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly aktivit Azure |
| Taktika MITRE ATT&CK: | Dopad |
| Techniky MITRE ATT&CK: | T1485 - Zničení dat |
| Aktivita: | Microsoft.Compute/disks/delete Microsoft.Compute/gallerys/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/smazat Microsoft.Compute/virtualMachines/smazat Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Zpět na seznam | Zpět na začátek
Neobvyklá úprava obranného mechanismu
Popis: Nežádoucí osoba může zakázat nástroje zabezpečení, aby se zabránilo možné detekci jejich nástrojů a aktivit.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly aktivit Azure |
| Taktika MITRE ATT&CK: | Obrana před únikem |
| Techniky MITRE ATT&CK: | T1562 - Narušení obrany |
| Dílčí techniky MITRE ATT&CK: | Zakázání nebo úprava nástrojů Zakázání nebo úprava cloudové brány firewall |
| Aktivita: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/smazat Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/smazat Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Zpět na seznam | Zpět na začátek
Neobvyklé neúspěšné přihlášení
Popis: Nežádoucí osoba bez předchozích znalostí legitimních přihlašovacích údajů v systému nebo prostředí můžou uhodnout hesla pro pokus o přístup k účtům.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly přihlašování Microsoft Entra protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Přístup k přihlašovacím údajům |
| Techniky MITRE ATT&CK: | T1110 - Hrubá síla |
| Aktivita: |
ID Microsoft Entra: Aktivita přihlášení Zabezpečení systému Windows: Neúspěšné přihlášení (ID události 4625) |
Zpět na seznam | Zpět na začátek
Neobvyklé resetování hesla
Popis: Nežádoucí uživatelé mohou přerušit dostupnost systémových a síťových prostředků tím, že brání přístupu k účtům využívaným legitimními uživateli. Účty mohou být odstraněny, uzamčeny nebo manipulovány (např. změněné přihlašovací údaje), aby se odebral přístup k účtům.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly auditu Microsoft Entra |
| Taktika MITRE ATT&CK: | Dopad |
| Techniky MITRE ATT&CK: | T1531 – Odebrání přístupu k účtu |
| Aktivita: | Základní adresář/ UserManagement/Resetování hesla uživatele |
Zpět na seznam | Zpět na začátek
Udělená neobvyklá oprávnění
Popis: Nežádoucí osoba může kromě existujících legitimních přihlašovacích údajů přidat pro instanční objekty Azure také nežádoucí přihlašovací údaje řízené nežádoucími osobami, aby se zachoval trvalý přístup k účtům Azure oběti.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly auditu Microsoft Entra |
| Taktika MITRE ATT&CK: | Uchování |
| Techniky MITRE ATT&CK: | T1098 – Manipulace s účtem |
| Dílčí techniky MITRE ATT&CK: | Další přihlašovací údaje instančního objektu Azure |
| Aktivita: | Zřizování účtů/ Správa aplikací / Přidání přiřazení role aplikace k instančnímu objektu |
Zpět na seznam | Zpět na začátek
Neobvyklé přihlášení
Popis: Nežádoucí uživatelé mohou ukrást přihlašovací údaje konkrétního uživatele nebo účtu služby pomocí technik přístupu k přihlašovacím údajům nebo zaznamenat přihlašovací údaje dříve v procesu rekognoskace prostřednictvím sociálního inženýrství, aby získali trvalost.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly přihlašování Microsoft Entra protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Uchování |
| Techniky MITRE ATT&CK: | T1078 – platné účty |
| Aktivita: |
ID Microsoft Entra: Aktivita přihlášení Zabezpečení systému Windows: Úspěšné přihlášení (ID události 4624) |
Zpět na seznam | Zpět na začátek
Anomálie založené na strojovém učení
Přizpůsobitelné a anomálie založené na strojovém učení od Microsoft Sentinelu můžou identifikovat neobvyklé chování pomocí šablon analytických pravidel, které se dají umístit tak, aby fungovaly hned od tohoto pole. I když anomálie nemusí nutně znamenat škodlivé nebo dokonce podezřelé chování sami, je možné je použít ke zlepšení detekce, vyšetřování a proaktivního vyhledávání hrozeb.
- Neobvyklé operace Azure
- Neobvyklé spuštění kódu
- Neobvyklé vytvoření místního účtu
- Neobvyklé aktivity uživatelů v Office Exchange
- Pokus o hrubou silou počítače
- Pokus o hrubou silou uživatelského účtu
- Pokus o hrubou silou uživatelského účtu na typ přihlášení
- Pokus o hrubou silou uživatelského účtu na důvod selhání
- Detekce chování síťového signálu generovaného počítačem
- Algoritmus generování domény (DGA) v doménách DNS
- Nadměrné stahování přes Palo Alto GlobalProtect
- Nadměrné nahrávání přes Palo Alto GlobalProtect
- Potenciální algoritmus generování domény (DGA) na další úrovni domén DNS
- Podezřelý objem volání rozhraní API AWS ze zdrojové IP adresy jiného typu než AWS
- Podezřelý objem volání rozhraní API pro zápis AWS z uživatelského účtu
- Podezřelý objem přihlášení k počítači
- Podezřelý objem přihlášení k počítači se zvýšenými oprávněními
- Podezřelý objem přihlášení k uživatelskému účtu
- Podezřelý objem přihlášení k uživatelskému účtu podle typů přihlášení
- Podezřelý objem přihlášení k uživatelskému účtu se zvýšenými oprávněními
Neobvyklé operace Azure
Popis: Tento algoritmus detekce shromažďuje data o 21 dnech v operacích Azure seskupených uživatelem za účelem trénování tohoto modelu ML. Algoritmus pak vygeneruje anomálie v případě uživatelů, kteří ve svých pracovních prostorech prováděli posloupnosti operací. Vytrénovaný model ML vyhodnocuje operace prováděné uživatelem a považuje neobvyklé hodnoty, jejichž skóre je větší než definovaná prahová hodnota.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokoly aktivit Azure |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1190 – Zneužití veřejně přístupné aplikace |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Neobvyklé spuštění kódu
Popis: Útočníci mohou zneužít interprety příkazů a skriptů ke spouštění příkazů, skriptů nebo binárních souborů. Tato rozhraní a jazyky poskytují způsoby interakce s počítačovými systémy a jsou běžnou funkcí na mnoha různých platformách.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokoly aktivit Azure |
| Taktika MITRE ATT&CK: | Provádění |
| Techniky MITRE ATT&CK: | T1059 – interpret příkazů a skriptování |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Neobvyklé vytvoření místního účtu
Popis: Tento algoritmus detekuje neobvyklé vytvoření místního účtu v systémech Windows. Útočníci můžou vytvářet místní účty pro zachování přístupu k cílovým systémům. Tento algoritmus analyzuje aktivitu vytváření místních účtů za posledních 14 dnů uživateli. Vyhledá podobnou aktivitu v aktuálním dni od uživatelů, kteří nebyli dříve vidět v historické aktivitě. Můžete zadat seznam povolených pro filtrování známých uživatelů z aktivace této anomálie.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Uchování |
| Techniky MITRE ATT&CK: | T1136 – Vytvoření účtu |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Neobvyklé aktivity uživatelů v Office Exchange
Popis: Tento model strojového učení seskupuje protokoly Office Exchange podle jednotlivých uživatelů do hodinových intervalů. Definujeme jednu hodinu jako relaci. Model se vytrénuje v předchozích 7 dnech chování všech běžných (nesprávních) uživatelů. Označuje neobvyklé uživatelské relace Office Exchange za poslední den.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokol aktivit Office (Exchange) |
| Taktika MITRE ATT&CK: | Uchování Kolekce |
| Techniky MITRE ATT&CK: |
Sbírka: T1114 – Kolekce e-mailů T1213 – data z úložišť informací Perzistence: T1098 – Manipulace s účtem T1136 – Vytvoření účtu T1137 – Spuštění aplikace Office T1505 – Serverová softwarová komponenta |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Pokus o hrubou silou počítače
Popis: Tento algoritmus zjistí neobvykle velký objem neúspěšných pokusů o přihlášení (ID události zabezpečení 4625) na počítač za poslední den. Model se vytrénuje v předchozích 21 dnech protokolů událostí zabezpečení Windows.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Přístup k přihlašovacím údajům |
| Techniky MITRE ATT&CK: | T1110 - Hrubá síla |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Pokus o hrubou silou uživatelského účtu
Popis: Tento algoritmus zjistí neobvykle velký objem neúspěšných pokusů o přihlášení (ID události zabezpečení 4625) na uživatelský účet za poslední den. Model se vytrénuje v předchozích 21 dnech protokolů událostí zabezpečení Windows.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Přístup k přihlašovacím údajům |
| Techniky MITRE ATT&CK: | T1110 - Hrubá síla |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Pokus o hrubou silou uživatelského účtu na typ přihlášení
Popis: Tento algoritmus zjistí neobvykle velký objem neúspěšných pokusů o přihlášení (ID události zabezpečení 4625) na uživatelský účet na typ přihlášení za poslední den. Model se vytrénuje v předchozích 21 dnech protokolů událostí zabezpečení Windows.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Přístup k přihlašovacím údajům |
| Techniky MITRE ATT&CK: | T1110 - Hrubá síla |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Pokus o hrubou silou uživatelského účtu na důvod selhání
Popis: Tento algoritmus zjistí neobvykle velký objem neúspěšných pokusů o přihlášení (ID události zabezpečení 4625) na uživatelský účet za důvod selhání za poslední den. Model se vytrénuje v předchozích 21 dnech protokolů událostí zabezpečení Windows.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Přístup k přihlašovacím údajům |
| Techniky MITRE ATT&CK: | T1110 - Hrubá síla |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Detekce chování síťového signálu generovaného počítačem
Popis: Tento algoritmus identifikuje vzory signálu z protokolů připojení síťového provozu na základě opakujících se časových rozdílových vzorů. Jakékoli síťové připojení k nedůvěryhodným veřejným sítím v opakujících se časech je indikací zpětného volání malwaru nebo pokusů o exfiltraci dat. Algoritmus vypočítá časový rozdíl mezi po sobě jdoucími síťovými připojeními mezi stejnou zdrojovou IP adresou a cílovou IP adresou a počtem připojení v časové rozdílové sekvenci mezi stejnými zdroji a cíli. Procento signálu se vypočítá jako spojení v časovém rozdílovém sekvenci s celkovým počtem připojení za den.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | CommonSecurityLog (PAN) |
| Taktika MITRE ATT&CK: | Příkazy a ovládání |
| Techniky MITRE ATT&CK: | T1071 – Protokol aplikační vrstvy T1132 – kódování dat T1001 – Obfuskace dat T1568 – dynamické rozlišení T1573 – šifrovaný kanál T1008 – náhradní kanály T1104 – kanály s více fázemi T1095 – protokol jiné vrstvy než aplikace T1571 – Nestandardní port T1572 – Tunelování protokolu T1090 – Proxy T1205 - Dopravní signalizace T1102 – webová služba |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Algoritmus generování domény (DGA) v doménách DNS
Popis: Tento model strojového učení označuje potenciální domény DGA z posledního dne v protokolech DNS. Algoritmus se vztahuje na záznamy DNS, které se přeloží na adresy IPv4 a IPv6.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Události DNS |
| Taktika MITRE ATT&CK: | Příkazy a ovládání |
| Techniky MITRE ATT&CK: | T1568 – dynamické rozlišení |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Nadměrné stahování přes Palo Alto GlobalProtect
Popis: Tento algoritmus zjišťuje neobvykle velký objem stahování na uživatelský účet prostřednictvím řešení Palo Alto VPN. Model se vytrénuje v předchozích 14 dnech protokolů VPN. Označuje neobvyklý velký objem stahování za poslední den.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | CommonSecurityLog (PAN VPN) |
| Taktika MITRE ATT&CK: | Exfiltrace |
| Techniky MITRE ATT&CK: | T1030 – Omezení velikosti přenosu dat T1041 – exfiltrace přes kanál C2 T1011 – exfiltrace přes jiné síťové médium T1567 – exfiltrace přes webovou službu T1029 – naplánovaný přenos T1537 – Přenos dat do cloudového účtu |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Nadměrné nahrávání přes Palo Alto GlobalProtect
Popis: Tento algoritmus detekuje neobvykle velký objem nahrávání na uživatelský účet prostřednictvím řešení Palo Alto VPN. Model se vytrénuje v předchozích 14 dnech protokolů VPN. Označuje neobvyklý velký objem nahrávání za poslední den.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | CommonSecurityLog (PAN VPN) |
| Taktika MITRE ATT&CK: | Exfiltrace |
| Techniky MITRE ATT&CK: | T1030 – Omezení velikosti přenosu dat T1041 – exfiltrace přes kanál C2 T1011 – exfiltrace přes jiné síťové médium T1567 – exfiltrace přes webovou službu T1029 – naplánovaný přenos T1537 – Přenos dat do cloudového účtu |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Potenciální algoritmus generování domény (DGA) na další úrovni domén DNS
Popis: Tento model strojového učení označuje domény další úrovně (třetí a vyšší) názvů domén z posledního dne protokolů DNS, které jsou neobvyklé. Můžou to být výstup algoritmu generování domény (DGA). Anomálie se vztahuje na záznamy DNS, které se přeloží na adresy IPv4 a IPv6.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Události DNS |
| Taktika MITRE ATT&CK: | Příkazy a ovládání |
| Techniky MITRE ATT&CK: | T1568 – dynamické rozlišení |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Podezřelý objem volání rozhraní API AWS ze zdrojové IP adresy jiného typu než AWS
Popis: Tento algoritmus detekuje neobvykle velký objem volání rozhraní API AWS na uživatelský účet na pracovní prostor ze zdrojových IP adres mimo rozsahy zdrojových IP adres AWS během posledního dne. Model se vytrénuje na předchozích 21 dnech událostí protokolu AWS CloudTrail podle zdrojové IP adresy. Tato aktivita může znamenat, že uživatelský účet je ohrožený.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokoly AWS CloudTrail |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1078 – platné účty |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Podezřelý objem volání rozhraní API pro zápis AWS z uživatelského účtu
Popis: Tento algoritmus detekuje neobvykle velký objem volání rozhraní API pro zápis AWS na uživatelský účet během posledního dne. Model se vytrénuje v předchozích 21 dnech událostí protokolu AWS CloudTrail podle uživatelského účtu. Tato aktivita může znamenat, že je účet ohrožený.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokoly AWS CloudTrail |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1078 – platné účty |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Podezřelý objem přihlášení k počítači
Popis: Tento algoritmus zjistí neobvykle velký objem úspěšných přihlášení (ID události zabezpečení 4624) na počítač za poslední den. Model se vytrénuje v předchozích 21 dnech Zabezpečení Windows protokoly událostí.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1078 – platné účty |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Podezřelý objem přihlášení k počítači se zvýšenými oprávněními
Popis: Tento algoritmus zjistí neobvykle velký objem úspěšných přihlášení (id události zabezpečení 4624) s oprávněními správce na počítač za poslední den. Model se vytrénuje v předchozích 21 dnech Zabezpečení Windows protokoly událostí.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1078 – platné účty |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Podezřelý objem přihlášení k uživatelskému účtu
Popis: Tento algoritmus zjistí neobvykle velký objem úspěšných přihlášení (ID události zabezpečení 4624) na uživatelský účet za poslední den. Model se vytrénuje v předchozích 21 dnech Zabezpečení Windows protokoly událostí.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1078 – platné účty |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Podezřelý objem přihlášení k uživatelskému účtu podle typů přihlášení
Popis: Tento algoritmus zjistí neobvykle velký objem úspěšných přihlášení (ID události zabezpečení 4624) na uživatelský účet podle různých typů přihlášení za poslední den. Model se vytrénuje v předchozích 21 dnech Zabezpečení Windows protokoly událostí.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1078 – platné účty |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Podezřelý objem přihlášení k uživatelskému účtu se zvýšenými oprávněními
Popis: Tento algoritmus zjistí neobvykle velký objem úspěšných přihlášení (ID události zabezpečení 4624) s oprávněními správce na uživatelský účet za poslední den. Model se vytrénuje v předchozích 21 dnech Zabezpečení Windows protokoly událostí.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1078 – platné účty |
Zpět na seznam anomálií založených na strojovém učení | Zpět na začátek
Další kroky
Přečtěte si o anomáliích generovaných strojovým učením v Microsoft Sentinelu.
Naučte se pracovat s pravidly anomálií.
Prošetřujte incidenty pomocí Služby Microsoft Sentinel.