Freigeben über


Von der Microsoft Sentinel Machine Learning-Engine erkannte Anomalien

In diesem Artikel sind die Anomalien aufgeführt, die Microsoft Sentinel mit verschiedenen Machine Learning-Modellen erkennt.

Anomalien werden erkannt, indem das Verhalten der Benutzer in einer Umgebung über einen Zeitraum analysiert wird und indem eine Baseline für legitime Aktivitäten erstellt wird. Sobald die Baseline festgelegt wurde, wird jede Aktivität außerhalb der normalen Parameter als anomale und daher verdächtiger Aktivität betrachtet.

Microsoft Sentinel verwendet zwei verschiedene Modelle, um Baselines zu erstellen und Anomalien zu erkennen.

Note

Die folgenden Anomalieerkennungen werden am 26. März 2024 aufgrund geringer Qualität der Ergebnisse eingestellt:

  • Domänenzuverlässigkeits-Palo-Alto-Anomalie
  • Anmeldungen in mehreren Regionen an einem einzigen Tag über Palo Alto GlobalProtect

Important

Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".

UEBA anomalies

Sentinel UEBA erkennt Anomalien auf der Grundlage dynamischer Baselines, die für jede Entität über verschiedene Dateneingaben erstellt werden. Das Basisverhalten jeder Entität wird gemäß ihren eigenen bisherigen Aktivitäten, denen ihrer Peers und denen der Organisation als Ganzes festgelegt. Anomalien können durch die Korrelation verschiedener Attribute wie Aktionstyp, geografischer Standort, Gerät, Ressource, ISP etc. ausgelöst werden.

Sie müssen das UEBA-Feature aktivieren , damit UEBA-Anomalien erkannt werden.

Entfernen anomaler Kontozugriffe

Description: An attacker may interrupt the availability of system and network resources by blocking access to accounts used by legitimate users. Der Angreifer kann ein Konto löschen, sperren oder bearbeiten (z. B. durch Ändern seiner Anmeldeinformationen), damit nicht mehr darauf zugegriffen werden kann.

Attribute Value
Anomaly type: UEBA
Data sources: Azure-Aktivitätsprotokolle
MITRE ATT&CK-Taktiken: Impact
MITRE ATT&CK-Techniken: T1531 – Entfernen des Kontozugriffs
Activity: Microsoft.Authorization/roleAssignments/delete
Log Out

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

Anomale Kontoerstellung

Description: Adversaries may create an account to maintain access to targeted systems. Auf der entsprechenden Zugriffsebene kann durch die Erstellung dieser Konten der Zugriff auf sekundäre Konten hergestellt werden, ohne dass auf dem System Tools für den Remotezugriff dauerhaft bereitgestellt werden müssen.

Attribute Value
Anomaly type: UEBA
Data sources: Microsoft Entra-Überwachungsprotokolle
MITRE ATT&CK-Taktiken: Persistence
MITRE ATT&CK-Techniken: T1136 – Konto erstellen
MITRE ATT&CK-Untertechniken: Cloud Account
Activity: Kernverzeichnis/Benutzerverwaltung/Benutzer hinzufügen

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

Anomale Kontolöschung

Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Konten können gelöscht, gesperrt oder bearbeitet werden (z. B. geänderte Anmeldeinformationen), damit nicht mehr auf die Konten zugegriffen werden kann.

Attribute Value
Anomaly type: UEBA
Data sources: Microsoft Entra-Überwachungsprotokolle
MITRE ATT&CK-Taktiken: Impact
MITRE ATT&CK-Techniken: T1531 – Entfernen des Kontozugriffs
Activity: Kernverzeichnis/Benutzerverwaltung/Benutzer löschen
Kernverzeichnis/Gerät/Benutzer löschen
Kernverzeichnis/Benutzerverwaltung/Benutzer löschen

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

Anomale Kontobearbeitung

Description: Adversaries may manipulate accounts to maintain access to target systems. Diese Aktionen umfassen das Hinzufügen neuer Konten zu privilegierten Gruppen. Dragonfly 2.0 hat beispielsweise neu erstellte Konten zu Administratorengruppen hinzugefügt, um erhöhte Zugriffsrechte aufrechtzuerhalten. Mit der folgenden Abfrage wird die Ausgabe aller Benutzer mit hohem Wirkungsgrad generiert, die „Benutzer aktualisieren“ (Namensänderung) für privilegierte Rollen ausführen, oder solche, bei denen die Benutzer zum ersten Mal geändert wurden.

Attribute Value
Anomaly type: UEBA
Data sources: Microsoft Entra-Überwachungsprotokolle
MITRE ATT&CK-Taktiken: Persistence
MITRE ATT&CK-Techniken: T1098 – Kontobearbeitung
Activity: Kernverzeichnis/Benutzerverwaltung/Benutzer aktualisieren

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

Anomale Codeausführung (UEBA)

Description: Adversaries may abuse command and script interpreters to execute commands, scripts, or binaries. Diese Schnittstellen und Sprachen bieten Möglichkeiten für die Interaktion mit Computersystemen und sind ein gemeinsames Feature vieler verschiedener Plattformen.

Attribute Value
Anomaly type: UEBA
Data sources: Azure-Aktivitätsprotokolle
MITRE ATT&CK-Taktiken: Execution
MITRE ATT&CK-Techniken: T1059 – Befehls- und Skript-Interpreter
MITRE ATT&CK-Untertechniken: PowerShell
Activity: Microsoft.Compute/virtualMachines/runCommand/action

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

Anomale Datenvernichtung

Description: Adversaries may destroy data and files on specific systems or in large numbers on a network to interrupt availability to systems, services, and network resources. Durch die Datenvernichtung werden gespeicherte Daten durch forensische Techniken durch Überschreiben von Dateien oder Daten auf lokalen und Remotelaufwerken unwiederherstellbar.

Attribute Value
Anomaly type: UEBA
Data sources: Azure-Aktivitätsprotokolle
MITRE ATT&CK-Taktiken: Impact
MITRE ATT&CK-Techniken: T1485 – Datenvernichtung
Activity: Microsoft.Compute/disks/delete
Microsoft.Compute/galleries/images/delete
Microsoft.Compute/hostGroups/delete
Microsoft.Compute/hostGroups/hosts/delete
Microsoft.Compute/images/delete
Microsoft.Compute/virtualMachines/delete
Microsoft.Compute/virtualMachineScaleSets/delete
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete
Microsoft.Devices/digitalTwins/Delete
Microsoft.Devices/iotHubs/Delete
Microsoft.KeyVault/vaults/delete
Microsoft.Logic/integrationAccounts/delete
Microsoft.Logic/integrationAccounts/maps/delete
Microsoft.Logic/integrationAccounts/schemas/delete
Microsoft.Logic/integrationAccounts/partners/delete
Microsoft.Logic/integrationServiceEnvironments/delete
Microsoft.Logic/workflows/delete
Microsoft.Resources/subscriptions/resourceGroups/delete
Microsoft.Sql/instancePools/delete
Microsoft.Sql/managedInstances/delete
Microsoft.Sql/managedInstances/administrators/delete
Microsoft.Sql/managedInstances/databases/delete
Microsoft.Storage/storageAccounts/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete
Microsoft.Storage/storageAccounts/blobServices/containers/delete
Microsoft.AAD/domainServices/delete

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

Anomale Änderung des Defensivmechanismus

Description: Adversaries may disable security tools to avoid possible detection of their tools and activities.

Attribute Value
Anomaly type: UEBA
Data sources: Azure-Aktivitätsprotokolle
MITRE ATT&CK-Taktiken: Defense Evasion
MITRE ATT&CK-Techniken: T1562 – Verteidigung beeinträchtigen
MITRE ATT&CK-Untertechniken: Deaktivieren oder Ändern von Tools
Deaktivieren oder Ändern der Cloudfirewall
Activity: Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete
Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete
Microsoft.Network/networkSecurityGroups/securityRules/delete
Microsoft.Network/networkSecurityGroups/delete
Microsoft.Network/ddosProtectionPlans/delete
Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete
Microsoft.Network/applicationSecurityGroups/delete
Microsoft.Authorization/policyAssignments/delete
Microsoft.Sql/servers/firewallRules/delete
Microsoft.Network/firewallPolicies/delete
Microsoft.Network/azurefirewalls/delete

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

Anomale fehlgeschlagene Anmeldung

Description: Adversaries with no prior knowledge of legitimate credentials within the system or environment may guess passwords to attempt access to accounts.

Attribute Value
Anomaly type: UEBA
Data sources: Microsoft Entra-Anmeldeprotokolle
Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Credential Access
MITRE ATT&CK-Techniken: T1110 – Brute Force
Activity: Microsoft Entra-ID: Anmeldeaktivität
Windows Security: Failed login (Event ID 4625)

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

Anomale Kennwortzurücksetzung

Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Konten können gelöscht, gesperrt oder bearbeitet werden (z. B. geänderte Anmeldeinformationen), damit nicht mehr auf die Konten zugegriffen werden kann.

Attribute Value
Anomaly type: UEBA
Data sources: Microsoft Entra-Überwachungsprotokolle
MITRE ATT&CK-Taktiken: Impact
MITRE ATT&CK-Techniken: T1531 – Entfernen des Kontozugriffs
Activity: Kernverzeichnis/Benutzerverwaltung/Benutzerkennwortzurücksetzung

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

Anomale Berechtigungen gewährt

Description: Adversaries may add adversary-controlled credentials for Azure Service Principals in addition to existing legitimate credentials to maintain persistent access to victim Azure accounts.

Attribute Value
Anomaly type: UEBA
Data sources: Microsoft Entra-Überwachungsprotokolle
MITRE ATT&CK-Taktiken: Persistence
MITRE ATT&CK-Techniken: T1098 – Kontobearbeitung
MITRE ATT&CK-Untertechniken: Zusätzliche Anmeldeinformationen für Azure-Dienstprinzipale
Activity: Kontobereitstellung/Anwendungsverwaltung/App-Rollenzuweisung zum Dienstprinzipal hinzufügen

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

Anomalous Sign-in

Description: Adversaries may steal the credentials of a specific user or service account using Credential Access techniques or capture credentials earlier in their reconnaissance process through social engineering for means of gaining Persistence.

Attribute Value
Anomaly type: UEBA
Data sources: Microsoft Entra-Anmeldeprotokolle
Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Persistence
MITRE ATT&CK-Techniken: T1078 – Gültige Konten
Activity: Microsoft Entra-ID: Anmeldeaktivität
Windows Security: Successful login (Event ID 4624)

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

Machine Learning-basierte Anomalien

Die auf Machine Learning basierenden anpassbaren Anomalien von Microsoft Sentinel können anomales Verhalten mithilfe von sofort einsatzbereiten Analyseregelvorlagen erkennen. Anomalien weisen zwar nicht zwangsläufig auf schädliches oder sogar verdächtiges Verhalten hin, können aber verwendet werden, um die Erkennungen, Untersuchungen und Bedrohungssuche zu verbessern.

Anomale Azure-Vorgänge

Description: This detection algorithm collects 21 days' worth of data on Azure operations grouped by user to train this ML model. Anschließend generiert der Algorithmus Anomalien im Falle von Benutzern, die Sequenzen von Vorgängen ausgeführt haben, die in ihren Arbeitsbereichen selten vorkommen. Das trainierte ML-Modell bewertet die vom Benutzer ausgeführten Vorgänge und betrachtet Anomalien, deren Bewertung oberhalb des definierten Schwellenwerts liegt.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: Azure-Aktivitätsprotokolle
MITRE ATT&CK-Taktiken: Initial Access
MITRE ATT&CK-Techniken: T1190 – Öffentliche Anwendung ausnutzen

Zurück zur Liste | Zurück zum Anfang

Anomale Codeausführung

Description: Attackers may abuse command and script interpreters to execute commands, scripts, or binaries. Diese Schnittstellen und Sprachen bieten Möglichkeiten für die Interaktion mit Computersystemen und sind ein gemeinsames Feature vieler verschiedener Plattformen.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: Azure-Aktivitätsprotokolle
MITRE ATT&CK-Taktiken: Execution
MITRE ATT&CK-Techniken: T1059 – Befehls- und Skript-Interpreter

Zurück zur Liste | Zurück zum Anfang

Anomale lokale Kontoerstellung

Description: This algorithm detects anomalous local account creation on Windows systems. Angreifer können lokale Konten erstellen, um den Zugriff auf Zielsysteme aufrechtzuerhalten. Dieser Algorithmus analysiert die lokale Kontoerstellungsaktivität über die vergangenen 14 Tage nach Benutzern. Es sucht nach ähnlichen tagesaktuellen Aktivitäten von Benutzern, die zuvor nicht in den Verlaufsaktivitäten aufgefallen sind. Sie können eine Zulassungsliste festlegen, um bekannte Benutzer herauszufiltern, damit diese Anomalie nicht ausgelöst wird.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Persistence
MITRE ATT&CK-Techniken: T1136 – Konto erstellen

Zurück zur Liste | Zurück zum Anfang

Anomale Benutzeraktivitäten in Office Exchange

Description: This machine learning model groups the Office Exchange logs on a per-user basis into hourly buckets. Eine Stunde wird als Sitzung definiert. Das Modell wird anhand des Verhaltens der vorangegangenen 7 Tage für alle regulären (Nicht-Administrator-)Benutzer trainiert. Office Exchange-Sitzungen mit anomalen Benutzern werden am letzten Tag angegeben.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: Office-Aktivitätsprotokoll (Exchange)
MITRE ATT&CK-Taktiken: Persistence
Collection
MITRE ATT&CK-Techniken: Collection:
T1114 – E-Mail-Sammlung
T1213 – Daten aus Informationsrepositorys

Persistence:
T1098 – Kontobearbeitung
T1136 – Konto erstellen
T1137 – Office-Anwendungsstart
T1505 – Serversoftwarekomponente

Zurück zur Liste | Zurück zum Anfang

Versuchter Computer Brute-Force

Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per computer over the past day. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Credential Access
MITRE ATT&CK-Techniken: T1110 – Brute Force

Zurück zur Liste | Zurück zum Anfang

Versuchter Benutzerkonto-Brute-Force

Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account over the past day. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Credential Access
MITRE ATT&CK-Techniken: T1110 – Brute Force

Zurück zur Liste | Zurück zum Anfang

Versuchter Benutzerkonto-Brute-Force je Anmeldetyp

Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per logon type over the past day. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Credential Access
MITRE ATT&CK-Techniken: T1110 – Brute Force

Zurück zur Liste | Zurück zum Anfang

Versuchter Benutzerkonto-Brute-Force je Fehlergrund

Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per failure reason over the past day. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Credential Access
MITRE ATT&CK-Techniken: T1110 – Brute Force

Zurück zur Liste | Zurück zum Anfang

Computergeneriertes Netzwerk-Beaconing-Verhalten erkennen

Description: This algorithm identifies beaconing patterns from network traffic connection logs based on recurrent time delta patterns. Jede Netzwerkverbindung zu nicht vertrauenswürdigen öffentlichen Netzwerken bei wiederholten Deltas ist ein Hinweis auf Malware-Rückrufe oder Datenexfiltrationsversuche. Der Algorithmus berechnet das Zeitdelta zwischen aufeinander folgenden Netzwerkverbindungen zwischen derselben Quell-IP und Ziel-IP sowie die Anzahl der Verbindungen in einer Zeit-Delta-Sequenz zwischen denselben Quellen und Zielen. Der Beaconing-Prozentsatz wird in Form der Verbindungen in der Zeit-Delta-Sequenz mit Gesamtverbindungen in einem Tag berechnet.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: CommonSecurityLog (PAN)
MITRE ATT&CK-Taktiken: Command-and-Control
MITRE ATT&CK-Techniken: T1071 – Anwendungsebenenprotokoll
T1132 – Datencodierung
T1001 – Datenverschleierung
T1568 – Dynamische Auflösung
T1573 – Verschlüsselter Kanal
T1008 – Fallbackkanäle
T1104 – Mehrstufige Kanäle
T1095 – Nicht-Anwendungsebenenprotokoll
T1571 – Nicht standardmäßiger Port
T1572 – Protokolltunnelung
T1090 – Proxy
T1205 – Datenverkehrssignalisierung
T1102 – Webdienst

Zurück zur Liste | Zurück zum Anfang

Domänengenerierungsalgorithmus (DGA) für DNS-Domänen

Description: This machine learning model indicates potential DGA domains from the past day in the DNS logs. Der Algorithmus gilt für DNS-Datensätze, die zu IPv4- und IPv6-Adressen aufgelöst werden.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: DNS Events
MITRE ATT&CK-Taktiken: Command-and-Control
MITRE ATT&CK-Techniken: T1568 – Dynamische Auflösung

Zurück zur Liste | Zurück zum Anfang

Übermäßige Downloads über Palo Alto GlobalProtect

Description: This algorithm detects unusually high volume of download per user account through the Palo Alto VPN solution. Das Modell wird an den den VPN-Protokollen vorangegangenen 14 Tagen trainiert. Es weist auf ein anomal hohes Volumen an Downloads am letzten Tag hin.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: CommonSecurityLog (PAN VPN)
MITRE ATT&CK-Taktiken: Exfiltration
MITRE ATT&CK-Techniken: T1030 – Grenzwerte für die Datenübertragungsgröße
T1041 – Exfiltration über C2-Kanal
T1011 – Exfiltration über anderes Netzwerkmedium
T1567 – Exfiltration über Webdienst
T1029 – Geplante Übertragung
T1537 – Daten an Cloudkonto übertragen

Zurück zur Liste | Zurück zum Anfang

Übermäßige Uploads über Palo Alto GlobalProtect

Description: This algorithm detects unusually high volume of upload per user account through the Palo Alto VPN solution. Das Modell wird an den den VPN-Protokollen vorangegangenen 14 Tagen trainiert. Es weist auf ein anomal hohes Volumen an Uploads am letzten Tag hin.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: CommonSecurityLog (PAN VPN)
MITRE ATT&CK-Taktiken: Exfiltration
MITRE ATT&CK-Techniken: T1030 – Grenzwerte für die Datenübertragungsgröße
T1041 – Exfiltration über C2-Kanal
T1011 – Exfiltration über anderes Netzwerkmedium
T1567 – Exfiltration über Webdienst
T1029 – Geplante Übertragung
T1537 – Daten an Cloudkonto übertragen

Zurück zur Liste | Zurück zum Anfang

Potenzieller Domänengenerierungsalgorithmus (DGA) auf DNS-Domänen der nächsten Ebene

Description: This machine learning model indicates the next-level domains (third-level and up) of the domain names from the last day of DNS logs that are unusual. Sie könnten möglicherweise die Ausgabe eines Domänengenerierungsalgorithmus (DGA) sein. Die Anomalie gilt für die DNS-Datensätze, die zu IPv4- und IPv6-Adressen aufgelöst werden.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: DNS Events
MITRE ATT&CK-Taktiken: Command-and-Control
MITRE ATT&CK-Techniken: T1568 – Dynamische Auflösung

Zurück zur Liste | Zurück zum Anfang

Verdächtiges Volumen von AWS-API-Aufrufen von Nicht-AWS-Quell-IP-Adressen

Description: This algorithm detects an unusually high volume of AWS API calls per user account per workspace, from source IP addresses outside of AWS's source IP ranges, within the last day. Das Modell wird in den vorangegangenen 21 Tagen vor den AWS CloudTrail-Protokollereignissen nach Quell-IP-Adresse trainiert. Diese Aktivität kann darauf hinweisen, dass das Benutzerkonto kompromittiert ist.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: AWS CloudTrail-Protokolle
MITRE ATT&CK-Taktiken: Initial Access
MITRE ATT&CK-Techniken: T1078 – Gültige Konten

Zurück zur Liste | Zurück zum Anfang

Verdächtiges Volumen von AWS-Schreib-API-Aufrufen von einem Benutzerkonto

Description: This algorithm detects an unusually high volume of AWS write API calls per user account within the last day. Das Modell wird in den vorangegangenen 21 Tagen vor den AWS CloudTrail-Protokollereignissen nach Benutzerkonto trainiert. Diese Aktivität kann darauf hinweisen, dass das Konto kompromittiert ist.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: AWS CloudTrail-Protokolle
MITRE ATT&CK-Taktiken: Initial Access
MITRE ATT&CK-Techniken: T1078 – Gültige Konten

Zurück zur Liste | Zurück zum Anfang

Verdächtiges Volumen von Anmeldungen auf dem Computer

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per computer over the past day. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Initial Access
MITRE ATT&CK-Techniken: T1078 – Gültige Konten

Zurück zur Liste | Zurück zum Anfang

Verdächtiges Volumen von Anmeldungen am Computer mit Token mit erweiterten Rechten

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per computer, over the last day. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Initial Access
MITRE ATT&CK-Techniken: T1078 – Gültige Konten

Zurück zur Liste | Zurück zum Anfang

Verdächtiges Volumen von Anmeldungen bei Benutzerkonto

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account over the past day. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Initial Access
MITRE ATT&CK-Techniken: T1078 – Gültige Konten

Zurück zur Liste | Zurück zum Anfang

Verdächtiges Volumen von Anmeldungen beim Benutzerkonto nach Anmeldetypen

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account, by different logon types, over the past day. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Initial Access
MITRE ATT&CK-Techniken: T1078 – Gültige Konten

Zurück zur Liste | Zurück zum Anfang

Verdächtiges Volumen von Anmeldungen beim Benutzerkonto mit Token mit erweiterten Rechten

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per user account, over the last day. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

Attribute Value
Anomaly type: Anpassbares maschinelles Lernen
Data sources: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Initial Access
MITRE ATT&CK-Techniken: T1078 – Gültige Konten

Zurück zur Liste | Zurück zum Anfang

Next steps