Von der Microsoft Sentinel Machine Learning-Engine erkannte Anomalien
In diesem Artikel sind die Anomalien aufgeführt, die Microsoft Sentinel mit verschiedenen Machine Learning-Modellen erkennt.
Anomalien werden erkannt, indem das Verhalten der Benutzer in einer Umgebung über einen Zeitraum analysiert wird und indem eine Baseline für legitime Aktivitäten erstellt wird. Sobald die Baseline festgelegt wurde, wird jede Aktivität außerhalb der normalen Parameter als anomale und daher verdächtiger Aktivität betrachtet.
Microsoft Sentinel verwendet zwei verschiedene Modelle, um Baselines zu erstellen und Anomalien zu erkennen.
Hinweis
Die folgenden Anomalieerkennungen werden am 26. März 2024 aufgrund geringer Qualität der Ergebnisse eingestellt:
- Domänenzuverlässigkeits-Palo-Alto-Anomalie
- Anmeldungen in mehreren Regionen an einem einzigen Tag über Palo Alto GlobalProtect
Wichtig
Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
UEBA-Anomalien
Sentinel UEBA erkennt Anomalien auf der Grundlage dynamischer Baselines, die für jede Entität über verschiedene Dateneingaben erstellt werden. Das Basisverhalten jeder Entität wird gemäß ihren eigenen bisherigen Aktivitäten, denen ihrer Peers und denen der Organisation als Ganzes festgelegt. Anomalien können durch die Korrelation verschiedener Attribute wie Aktionstyp, geografischer Standort, Gerät, Ressource, ISP etc. ausgelöst werden.
Sie müssen das UEBA-Feature für UEBA-Anomalien aktivieren, die erkannt werden sollen.
- Entfernen anomaler Kontozugriffe
- Anomale Kontoerstellung
- Anomale Kontolöschung
- Anomale Kontobearbeitung
- Anomalous Code Execution (UEBA)
- Anomale Datenvernichtung
- Anomale Änderung des Defensivmechanismus
- Anomale fehlgeschlagene Anmeldung
- Anomale Kennwortzurücksetzung
- Anomale Berechtigungen gewährt
- Anomale Anmeldung
Entfernen anomaler Kontozugriffe
Beschreibung: Ein Angreifer kann die Verfügbarkeit von System- und Netzwerkressourcen unterbrechen, indem er den Zugriff auf Konten blockiert, die von legitimen Benutzern verwendet werden. Der Angreifer kann ein Konto löschen, sperren oder bearbeiten (z. B. durch Ändern seiner Anmeldeinformationen), damit nicht mehr darauf zugegriffen werden kann.
| attribute | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Azure-Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Auswirkung |
| MITRE ATT&CK-Techniken: | T1531 – Entfernen des Kontozugriffs |
| Aktivität: | Microsoft.Authorization/roleAssignments/delete Abmelden |
Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang
Anomale Kontoerstellung
Beschreibung: Angreifer können ein Konto erstellen, um den Zugriff auf Zielsysteme aufrechtzuerhalten. Auf der entsprechenden Zugriffsebene kann durch die Erstellung dieser Konten der Zugriff auf sekundäre Konten hergestellt werden, ohne dass auf dem System Tools für den Remotezugriff dauerhaft bereitgestellt werden müssen.
| attribute | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Persistenz |
| MITRE ATT&CK-Techniken: | T1136 – Konto erstellen |
| MITRE ATT&CK-Untertechniken: | Cloudkonto |
| Aktivität: | Kernverzeichnis/Benutzerverwaltung/Benutzer hinzufügen |
Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang
Anomale Kontolöschung
Beschreibung: Angreifer können die Verfügbarkeit von System- und Netzwerkressourcen unterbrechen, indem sie den Zugriff auf Konten, die von legitimen Benutzern verwendet werden, verhindern. Konten können gelöscht, gesperrt oder bearbeitet werden (z. B. geänderte Anmeldeinformationen), damit nicht mehr auf die Konten zugegriffen werden kann.
| attribute | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Auswirkung |
| MITRE ATT&CK-Techniken: | T1531 – Entfernen des Kontozugriffs |
| Aktivität: | Kernverzeichnis/Benutzerverwaltung/Benutzer löschen Kernverzeichnis/Gerät/Benutzer löschen Kernverzeichnis/Benutzerverwaltung/Benutzer löschen |
Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang
Anomale Kontobearbeitung
Beschreibung: Angreifer können Konten bearbeiten, um Den Zugriff auf Zielsysteme zu erhalten. Diese Aktionen umfassen das Hinzufügen neuer Konten zu privilegierten Gruppen. Dragonfly 2.0 hat beispielsweise neu erstellte Konten zu Administratorengruppen hinzugefügt, um erhöhte Zugriffsrechte aufrechtzuerhalten. Mit der folgenden Abfrage wird die Ausgabe aller Benutzer mit hohem Wirkungsgrad generiert, die „Benutzer aktualisieren“ (Namensänderung) für privilegierte Rollen ausführen, oder solche, bei denen die Benutzer zum ersten Mal geändert wurden.
| attribute | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Persistenz |
| MITRE ATT&CK-Techniken: | T1098 – Kontobearbeitung |
| Aktivität: | Kernverzeichnis/Benutzerverwaltung/Benutzer aktualisieren |
Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang
Anomalous Code Execution (UEBA)
Beschreibung: Angreifer können Befehls- und Skript-Interpreter missbrauchen, um Befehle, Skripts oder Binärdateien auszuführen. Diese Schnittstellen und Sprachen bieten Möglichkeiten für die Interaktion mit Computersystemen und sind ein gemeinsames Feature vieler verschiedener Plattformen.
| attribute | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Azure-Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Ausführung |
| MITRE ATT&CK-Techniken: | T1059 – Befehls- und Skript-Interpreter |
| MITRE ATT&CK-Untertechniken: | PowerShell |
| Aktivität: | Microsoft.Compute/virtualMachines/runCommand/action |
Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang
Anomale Datenvernichtung
Beschreibung: Angreifer können Daten und Dateien auf bestimmten Systemen oder in großen Zahlen in einem Netzwerk vernichten, um die Verfügbarkeit von Systemen, Diensten und Netzwerkressourcen zu unterbrechen. Durch die Datenvernichtung werden gespeicherte Daten durch forensische Techniken durch Überschreiben von Dateien oder Daten auf lokalen und Remotelaufwerken unwiederherstellbar.
| attribute | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Azure-Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Auswirkung |
| MITRE ATT&CK-Techniken: | T1485 – Datenvernichtung |
| Aktivität: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang
Anomale Änderung des Defensivmechanismus
Beschreibung: Angreifer können Sicherheitstools deaktivieren, damit ihre Tools und Aktivitäten nicht erkannt werden können.
| attribute | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Azure-Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Umgehen von Verteidigungsmaßnahmen |
| MITRE ATT&CK-Techniken: | T1562 – Verteidigung beeinträchtigen |
| MITRE ATT&CK-Untertechniken: | Deaktivieren oder Ändern von Tools Deaktivieren oder Ändern der Cloudfirewall |
| Aktivität: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang
Anomale fehlgeschlagene Anmeldung
Beschreibung: Angreifer ohne vorherige Kenntnisse der legitimen Anmeldeinformationen innerhalb des Systems oder der Umgebung können Kennwörter erraten, um zu versuchen, auf Konten zuzugreifen.
| attribute | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra-Anmeldeprotokolle Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Zugriff auf Anmeldeinformationen |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
| Aktivität: | Microsoft Entra ID: Anmeldeaktivität Windows-Sicherheit: Fehlgeschlagene Anmeldung (Ereignis-ID 4625) |
Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang
Anomale Kennwortzurücksetzung
Beschreibung: Angreifer können die Verfügbarkeit von System- und Netzwerkressourcen unterbrechen, indem sie den Zugriff auf Konten, die von legitimen Benutzern verwendet werden, verhindern. Konten können gelöscht, gesperrt oder bearbeitet werden (z. B. geänderte Anmeldeinformationen), damit nicht mehr auf die Konten zugegriffen werden kann.
| attribute | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Auswirkung |
| MITRE ATT&CK-Techniken: | T1531 – Entfernen des Kontozugriffs |
| Aktivität: | Kernverzeichnis/Benutzerverwaltung/Benutzerkennwortzurücksetzung |
Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang
Anomale Berechtigungen gewährt
Beschreibung: Angreifer können zusätzlich zu vorhandenen legitimen Anmeldeinformationen vom Angreifer kontrollierte Anmeldedaten für Azure-Dienstprinzipalen hinzufügen, um dauerhaft Zugriff auf Opfer-Azure-Konten zu erhalten.
| attribute | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Persistenz |
| MITRE ATT&CK-Techniken: | T1098 – Kontobearbeitung |
| MITRE ATT&CK-Untertechniken: | Zusätzliche Anmeldeinformationen für Azure-Dienstprinzipale |
| Aktivität: | Kontobereitstellung/Anwendungsverwaltung/App-Rollenzuweisung zum Dienstprinzipal hinzufügen |
Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang
Anomale Anmeldung
Beschreibung: Angreifer können die Anmeldeinformationen eines bestimmten Benutzers oder Diensts mithilfe von Techniken für den Zugriff auf Anmeldeinformationen stehlen oder Anmeldeinformationen zu einem früheren Zeitpunkt in ihrem Erkundungsprozess durch Social Engineering abfangen, um so dauerhaft Zugang zu erhalten.
| attribute | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra-Anmeldeprotokolle Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Persistenz |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
| Aktivität: | Microsoft Entra ID: Anmeldeaktivität Windows-Sicherheit: Erfolgreiche Anmeldung (Ereignis-ID 4624) |
Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang
Machine Learning-basierte Anomalien
Die auf Machine Learning basierenden anpassbaren Anomalien von Microsoft Sentinel können anomales Verhalten mithilfe von sofort einsatzbereiten Analyseregelvorlagen erkennen. Anomalien weisen zwar nicht zwangsläufig auf schädliches oder sogar verdächtiges Verhalten hin, können aber verwendet werden, um die Erkennungen, Untersuchungen und Bedrohungssuche zu verbessern.
- Anomale Microsoft Entra-Anmeldesitzungen
- Anomale Azure-Vorgänge
- Anomale Codeausführung
- Anomale lokale Kontoerstellung
- Anomale Scanaktivität
- Anomale Benutzeraktivitäten in Office Exchange
- Anomale Benutzer-/App-Aktivitäten in Azure-Überwachungsprotokollen
- Anomale W3CIIS-Protokollaktivität
- Anomale Webanforderungsaktivität
- Versuchter Computer Brute-Force
- Versuchter Benutzerkonto-Brute-Force
- Versuchter Benutzerkonto-Brute-Force je Anmeldetyp
- Versuchter Benutzerkonto-Brute-Force je Fehlergrund
- Computergeneriertes Netzwerk-Beaconing-Verhalten erkennen
- Domänengenerierungsalgorithmus (DGA) für DNS-Domänen
- Domain Reputation Palo Alto Anomalie (NICHT MEHR VERFÜGBAR)
- Übermäßige Datenübertragungsomalie
- Übermäßige Downloads über Palo Alto GlobalProtect
- Übermäßige Uploads über Palo Alto GlobalProtect
- Anmeldung von einer ungewöhnlichen Region über Palo Alto GlobalProtect-Kontoanmeldungen
- Mehrregionenanmeldungen an einem einzigen Tag über Palo Alto GlobalProtect (DISCONTINUED)
- Potenzieller Daten-Stagingprozess
- Potenzieller Domänengenerierungsalgorithmus (DGA) auf DNS-Domänen der nächsten Ebene
- Verdächtige Geografische Änderung in Palo Alto GlobalProtect-Kontoanmeldungen
- Verdächtige Anzahl aufgerufener geschützter Dokumente
- Verdächtiges Volumen von AWS-API-Aufrufen von Nicht-AWS-Quell-IP-Adressen
- Verdächtiges Volumen von AWS CloudTrail-Protokollereignissen des Gruppenbenutzerkontos durch EventTypeName
- Verdächtiges Volumen von AWS-Schreib-API-Aufrufen von einem Benutzerkonto
- Verdächtiges Volumen von fehlgeschlagenen Anmeldeversuchen bei AWS-Konsole durch jedes Gruppenbenutzerkonto
- Verdächtiges Volumen von fehlgeschlagenen Anmeldeversuchen bei AWS-Konsole durch jede Quell-IP-Adresse
- Verdächtiges Volumen von Anmeldungen auf dem Computer
- Verdächtiges Volumen von Anmeldungen am Computer mit Token mit erweiterten Rechten
- Verdächtiges Volumen von Anmeldungen bei Benutzerkonto
- Verdächtiges Volumen von Anmeldungen beim Benutzerkonto nach Anmeldetypen
- Verdächtiges Volumen von Anmeldungen beim Benutzerkonto mit Token mit erweiterten Rechten
- Ungewöhnlicher externer Firewall-Alarm erkannt
- Ungewöhnliche Massendowngrade-AIP-Bezeichnung
- Ungewöhnliche Netzwerkkommunikation an häufig verwendeten Ports
- Ungewöhnliche Netzwerkvolumen-Anomalie
- Ungewöhnlicher Webdatenverkehr, erkannt mit IP im URL-Pfad
Anomale Microsoft Entra-Anmeldesitzungen
Beschreibung: Das Machine Learning-Modell gruppiert die Microsoft Entra-Anmeldeprotokolle pro Benutzer. Das Modell wird in den vorherigen 6 Tagen im Hinblick auf das Benutzeranmeldeverhalten trainiert. Es gibt anomale Benutzeranmeldesitzungen während des letzten Tags an.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Microsoft Entra-Anmeldeprotokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten T1566 – Phishing T1133 – Externe Remotedienste |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Anomale Azure-Vorgänge
Beschreibung: Dieser Erkennungsalgorithmus sammelt an 21 Tagen Daten über Azure-Vorgänge, die der Benutzer gruppiert hat, um dieses ML-Modell zu trainieren. Anschließend generiert der Algorithmus Anomalien im Falle von Benutzern, die Sequenzen von Vorgängen ausgeführt haben, die in ihren Arbeitsbereichen selten vorkommen. Das trainierte ML-Modell bewertet die vom Benutzer ausgeführten Vorgänge und betrachtet Anomalien, deren Bewertung oberhalb des definierten Schwellenwerts liegt.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Azure-Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1190 – Öffentliche Anwendung ausnutzen |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Anomale Codeausführung
Beschreibung: Angreifer können Befehls- und Skript-Interpreter missbrauchen, um Befehle, Skripts oder Binärdateien auszuführen. Diese Schnittstellen und Sprachen bieten Möglichkeiten für die Interaktion mit Computersystemen und sind ein gemeinsames Feature vieler verschiedener Plattformen.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Azure-Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Ausführung |
| MITRE ATT&CK-Techniken: | T1059 – Befehls- und Skript-Interpreter |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Anomale lokale Kontoerstellung
Beschreibung: Dieser Algorithmus erkennt die anomale lokale Kontoerstellung auf Windows-Systemen. Angreifer können lokale Konten erstellen, um den Zugriff auf Zielsysteme aufrechtzuerhalten. Dieser Algorithmus analysiert die lokale Kontoerstellungsaktivität über die vergangenen 14 Tage nach Benutzern. Es sucht nach ähnlichen tagesaktuellen Aktivitäten von Benutzern, die zuvor nicht in den Verlaufsaktivitäten aufgefallen sind. Sie können eine Zulassungsliste festlegen, um bekannte Benutzer herauszufiltern, damit diese Anomalie nicht ausgelöst wird.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Persistenz |
| MITRE ATT&CK-Techniken: | T1136 – Konto erstellen |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Anomale Scanaktivität
Beschreibung: Dieser Algorithmus sucht nach Portscanaktivitäten, die von einer einzelnen Quell-IP zu einem oder mehreren Ziel-IPs stammen, die normalerweise in einer bestimmten Umgebung nicht vorkommen.
Der Algorithmus berücksichtigt, ob die IP öffentlich/extern oder privat/intern ist und ob das Ereignis entsprechend gekennzeichnet ist. Derzeit werden nur Aktivitäten des Typs „privat-zu öffentlich“ oder „öffentlich-zu-privat“ berücksichtigt. Die Überprüfungsaktivität kann darauf hinweisen, dass ein Angreifer versucht, verfügbare Dienste in einer Umgebung zu ermitteln, die potenziell ausgenutzt und für eingehende oder laterale Bewegungen verwendet werden kann. Eine große Zahl von Quellports und eine große Zahl von Zielports von einer einzigen Quell-IP zu einer einzelnen oder mehreren Ziel-IP- oder IPs kann interessant sein und auf anomale Überprüfungen hinweisen. Bei einer großen Zahl von Ziel-IPs im Verhältnis zu der einzelnen Quell-IP kann dies zudem auf eine anomale Überprüfung hinweisen.
Konfigurationsdetails:
- Die Standardeinstellung für die Auftragsausführung lautet täglich mit Containern nach Stunden.
Der Algorithmus verwendet die folgenden konfigurierbaren Standardwerte, um die Ergebnisse basierend auf Stundencontainern zu begrenzen. - Einbezogene Geräteaktionen – Akzeptieren, Zulassen, Starten
- Ausgenommene Ports – 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
- Eindeutige Zielportanzahl >= 600
- Eindeutige Quellportanzahl >= 600
- Eindeutige Quellportanzahl geteilt durch die eindeutige Zielportanzahl, Verhältnis konvertiert in Prozent >= 99,99
- Quell-IP (immer 1) geteilt durch Ziel-IP, Verhältnis konvertiert in Prozent >= 99,99
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| MITRE ATT&CK-Taktiken: | Ermittlung |
| MITRE ATT&CK-Techniken: | T1046 – Netzwerkdienstüberprüfung |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Anomale Benutzeraktivitäten in Office Exchange
Beschreibung: Dieses Machine Learning-Modell gruppiert die Office Exchange Protokolle pro Benutzer in Bucket nach Stunden. Eine Stunde wird als Sitzung definiert. Das Modell wird anhand des Verhaltens der vorangegangenen 7 Tage für alle regulären (Nicht-Administrator-)Benutzer trainiert. Office Exchange-Sitzungen mit anomalen Benutzern werden am letzten Tag angegeben.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Office-Aktivitätsprotokoll (Exchange) |
| MITRE ATT&CK-Taktiken: | Persistenz Sammlung |
| MITRE ATT&CK-Techniken: | Sammlung: T1114 – E-Mail-Sammlung T1213 – Daten aus Informationsrepositorys Persistenz: T1098 – Kontobearbeitung T1136 – Konto erstellen T1137 – Office-Anwendungsstart T1505 – Serversoftwarekomponente |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Anomale Benutzer-/App-Aktivitäten in Azure-Überwachungsprotokollen
Beschreibung: Dieser Algorithmus identifiziert anomale Benutzer-/App-Azure-Sitzungen in Überwachungsprotokollen für den letzten Tag basierend auf dem Verhalten der vorangegangenen 21 Tage aller Benutzer und Apps. Der Algorithmus überprüft, ob eine ausreichende Menge an Daten vorhanden ist, bevor das Modell trainiert wird.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Sammlung Ermittlung Erstzugriff Persistenz Rechteausweitung |
| MITRE ATT&CK-Techniken: | Sammlung: T1530 – Daten aus Cloudspeicherobjekt Ermittlung: T1087 – Kontoermittlung T1538 – Clouddienst-Dashboard T1526 – Clouddiensterkennung T1069 – Berechtigungsgruppenerkennung T1518 – Softwareerkennung Erstzugriff: T1190 – Öffentliche Anwendung ausnutzen T1078 – Gültige Konten Persistenz: T1098 – Kontobearbeitung T1136 – Konto erstellen T1078 – Gültige Konten Rechteausweitung T1484 – Änderung der Domänenrichtlinie T1078 – Gültige Konten |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Anomale W3CIIS-Protokollaktivität
Beschreibung: Dieser Machine-Learning-Algorithmus weist auf anomale IIS-Sitzungen am letzten Tag hin. Er erfasst z. B. eine ungewöhnlich hohe Anzahl an unterschiedlichem URI-Abfragen, Benutzer-Agents oder Protokollen in einer Sitzung oder an bestimmten HTTP-Verben oder HTTP-Status in einer Sitzung. Der Algorithmus identifiziert ungewöhnliche W3CIISLog-Ereignisse innerhalb einer Stundensitzung, gruppiert nach Websitename und Client-IP. Das Modell wird an den der IIS-Aktivität vorangegangenen 7 Tagen trainiert. Der Algorithmus überprüft, ob eine ausreichende Menge an IIS-Aktivitäten vorhanden ist, bevor das Modell trainiert wird.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | W3CIIS-Protokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff Persistenz |
| MITRE ATT&CK-Techniken: | Erstzugriff: T1190 – Öffentliche Anwendung ausnutzen Persistenz: T1505 – Serversoftwarekomponente |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Anomale Webanforderungsaktivität
Beschreibung: Dieser Algorithmus gruppiert W3CIISLog-Ereignisse in Stundensitzungen, die nach Websitename und URI-Stamm gruppiert sind. Das Machine Learning-Modell identifiziert Sitzungen mit ungewöhnlich vielen Anforderungen, die am letzten Tag 5xx-Klassenantwortcodes ausgelöst haben. 5xx-Klassencodes sind ein Hinweis darauf, dass einige Anwendungsinstabilitäten oder Fehlerbedingungen durch die Anforderung ausgelöst wurden. Sie können ein Hinweis darauf sein, dass ein Angreifer den URI-Stamm auf Sicherheitsrisiken und Konfigurationsprobleme testet, einige Ausnutzungsaktivitäten wie z. B. SQL-Injektionen durchführt oder eine nicht gepatchte Sicherheitsanfälligkeit nutzt. Dieser Algorithmus braucht für das Training 6 Tage.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | W3CIIS-Protokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff Persistenz |
| MITRE ATT&CK-Techniken: | Erstzugriff: T1190 – Öffentliche Anwendung ausnutzen Persistenz: T1505 – Serversoftwarekomponente |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Versuchter Computer Brute-Force
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von fehlgeschlagenen Anmeldeversuchen (Sicherheitsereignis-ID 4625) pro Computer am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Zugriff auf Anmeldeinformationen |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Versuchter Benutzerkonto-Brute-Force
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von fehlgeschlagenen Anmeldeversuchen (Sicherheitsereignis-ID 4625) pro Benutzerkonto am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Zugriff auf Anmeldeinformationen |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Versuchter Benutzerkonto-Brute-Force je Anmeldetyp
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von fehlgeschlagenen Anmeldeversuchen (Sicherheitsereignis-ID 4625) pro Anmeldetyp am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Zugriff auf Anmeldeinformationen |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Versuchter Benutzerkonto-Brute-Force je Fehlergrund
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von fehlgeschlagenen Anmeldeversuchen (Sicherheitsereignis-ID 4625) pro Fehlergrund am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Zugriff auf Anmeldeinformationen |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Computergeneriertes Netzwerk-Beaconing-Verhalten erkennen
Beschreibung: Dieser Algorithmus identifiziert Beaconing-Muster aus Netzwerkdatenverkehrs-Verbindungsprotokollen basierend auf wiederkehrenden Zeit-Delta-Mustern. Jede Netzwerkverbindung zu nicht vertrauenswürdigen öffentlichen Netzwerken bei wiederholten Deltas ist ein Hinweis auf Malware-Rückrufe oder Datenexfiltrationsversuche. Der Algorithmus berechnet das Zeitdelta zwischen aufeinander folgenden Netzwerkverbindungen zwischen derselben Quell-IP und Ziel-IP sowie die Anzahl der Verbindungen in einer Zeit-Delta-Sequenz zwischen denselben Quellen und Zielen. Der Beaconing-Prozentsatz wird in Form der Verbindungen in der Zeit-Delta-Sequenz mit Gesamtverbindungen in einem Tag berechnet.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | CommonSecurityLog (PAN) |
| MITRE ATT&CK-Taktiken: | Command-and-Control |
| MITRE ATT&CK-Techniken: | T1071 – Anwendungsebenenprotokoll T1132 – Datencodierung T1001 – Datenverschleierung T1568 – Dynamische Auflösung T1573 – Verschlüsselter Kanal T1008 – Fallbackkanäle T1104 – Mehrstufige Kanäle T1095 – Nicht-Anwendungsebenenprotokoll T1571 – Nicht standardmäßiger Port T1572 – Protokolltunnelung T1090 – Proxy T1205 – Datenverkehrssignalisierung T1102 – Webdienst |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Domänengenerierungsalgorithmus (DGA) für DNS-Domänen
Beschreibung: Dieses Machine Learning-Modell gibt potenzielle DGA-Domänen vom letzten Tag in den DNS-Protokollen an. Der Algorithmus gilt für DNS-Datensätze, die zu IPv4- und IPv6-Adressen aufgelöst werden.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | DNS-Ereignisse |
| MITRE ATT&CK-Taktiken: | Command-and-Control |
| MITRE ATT&CK-Techniken: | T1568 – Dynamische Auflösung |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Domain Reputation Palo Alto Anomalie (NICHT MEHR VERFÜGBAR)
Beschreibung: Dieser Algorithmus bewertet die Zuverlässigkeit aller Domänen speziell in Palo Alto-Firewallprotokollen (PAN-OS-Produkt). Eine hohe Anomaliebewertung weist auf eine geringe Zuverlässigkeit hin, die darauf hindeutet, dass beobachtet wurde, dass die Domäne schädliche Inhalte hostet oder dies wahrscheinlich tun wird.
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Übermäßige Datenübertragungsomalie
Beschreibung: Dieser Algorithmus erkennt ungewöhnlich hohe Datenübertragungen in Netzwerkprotokollen. Er verwendet Zeitreihen, um die Daten zur Berechnung der Baseline in saisonale, Trend- und Restkomponenten zu unterteilen. Jede plötzliche große Abweichung von der historischen Baseline gilt als aomale Aktivität.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| MITRE ATT&CK-Taktiken: | Exfiltration |
| MITRE ATT&CK-Techniken: | T1030 – Grenzwerte für die Datenübertragungsgröße T1041 – Exfiltration über C2-Kanal T1011 – Exfiltration über anderes Netzwerkmedium T1567 – Exfiltration über Webdienst T1029 – Geplante Übertragung T1537 – Daten an Cloudkonto übertragen |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Übermäßige Downloads über Palo Alto GlobalProtect
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Downloadvolumen pro Benutzerkonto über die Palo Alto VPN-Lösung. Das Modell wird an den den VPN-Protokollen vorangegangenen 14 Tagen trainiert. Es weist auf ein anomal hohes Volumen an Downloads am letzten Tag hin.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-Taktiken: | Exfiltration |
| MITRE ATT&CK-Techniken: | T1030 – Grenzwerte für die Datenübertragungsgröße T1041 – Exfiltration über C2-Kanal T1011 – Exfiltration über anderes Netzwerkmedium T1567 – Exfiltration über Webdienst T1029 – Geplante Übertragung T1537 – Daten an Cloudkonto übertragen |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Übermäßige Uploads über Palo Alto GlobalProtect
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Uploadvolumen pro Benutzerkonto über die Palo Alto VPN-Lösung. Das Modell wird an den den VPN-Protokollen vorangegangenen 14 Tagen trainiert. Es weist auf ein anomal hohes Volumen an Uploads am letzten Tag hin.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-Taktiken: | Exfiltration |
| MITRE ATT&CK-Techniken: | T1030 – Grenzwerte für die Datenübertragungsgröße T1041 – Exfiltration über C2-Kanal T1011 – Exfiltration über anderes Netzwerkmedium T1567 – Exfiltration über Webdienst T1029 – Geplante Übertragung T1537 – Daten an Cloudkonto übertragen |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Anmeldung von einer ungewöhnlichen Region über Palo Alto GlobalProtect-Kontoanmeldungen
Beschreibung: Wenn sich mit einem Palo Alto GlobalProtect-Konto aus einer Quellregion anmeldet wird, bei dem sich in den letzten 14 Tagen selten angemeldet wurde, wird eine Anomalie ausgelöst. Diese Anomalie kann darauf hinweisen, dass das Konto kompromittiert wurde.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-Taktiken: | Zugriff auf Anmeldeinformationen Erstzugriff Seitliche Verschiebung |
| MITRE ATT&CK-Techniken: | T1133 – Externe Remotedienste |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Mehrregionenanmeldungen an einem einzigen Tag über Palo Alto GlobalProtect (DISCONTINUED)
Beschreibung: Dieser Algorithmus erkennt ein Benutzerkonto, bei dem Anmeldungen aus mehreren nicht angrenzenden Regionen an einem einzigen Tag über ein Palo Alto VPN erfolgt sind.
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Potenzieller Daten-Stagingprozess
Beschreibung: Dieser Algorithmus vergleicht die Downloads unterschiedlicher Dateien pro Benutzerbasis aus der vorangegangenen Woche mit den Downloads für den aktuellen Tag für jeden Benutzer, und es wird eine Anomalie ausgelöst, wenn die Anzahl der Downloads unterschiedlicher Dateien die konfigurierte Anzahl von Standardabweichungen über dem Mittelwert überschreitet. Derzeit analysiert der Algorithmus nur Dateien, die während der Exfiltration von Dokumenten, Bildern, Videos und Archiven häufig vorkommen und die die Erweiterungen doc, docx, xls, xlsx, xlsm, ppt, pptx, one, pdf, zip, rar, bmp, jpg, mp3, mp4 und mov haben.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Office-Aktivitätsprotokoll (Exchange) |
| MITRE ATT&CK-Taktiken: | Sammlung |
| MITRE ATT&CK-Techniken: | T1074 – Daten gestaffelt |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Potenzieller Domänengenerierungsalgorithmus (DGA) auf DNS-Domänen der nächsten Ebene
Beschreibung: In diesem Machine Learning-Modell werden die Domänen der nächsten Ebene (ab der dritten Ebene) der Domänennamen des letzten Tags der DNS-Protokolle angegeben, die ungewöhnlich sind. Sie könnten möglicherweise die Ausgabe eines Domänengenerierungsalgorithmus (DGA) sein. Die Anomalie gilt für die DNS-Datensätze, die zu IPv4- und IPv6-Adressen aufgelöst werden.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | DNS-Ereignisse |
| MITRE ATT&CK-Taktiken: | Command-and-Control |
| MITRE ATT&CK-Techniken: | T1568 – Dynamische Auflösung |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Verdächtige Geografische Änderung in Palo Alto GlobalProtect-Kontoanmeldungen
Beschreibung: Eine Übereinstimmung gibt an, dass ein Benutzer remote aus einem anderen Land bzw. einer Region angemeldet ist als dort, wo sich der Benutzer zuletzt remote angemeldet hat. Diese Regel kann auch auf ein kompromittiertes Konto hinweisen, insbesondere, wenn die Regelabgleichungen zeitnah erfolgt sind. Dies schließt das Szenario der unmöglichen Reise ein.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-Taktiken: | Erstzugriff Zugriff auf Anmeldeinformationen |
| MITRE ATT&CK-Techniken: | T1133 – Externe Remotedienste T1078 – Gültige Konten |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Verdächtige Anzahl aufgerufener geschützter Dokumente
Beschreibung: Dieser Algorithmus erkennt viele Zugriffe auf geschützte Dokumente in Azure Information Protection-(AIP-)Protokollen. Er betrachtet AIP-Workload-Datensätze für eine bestimmte Anzahl von Tagen und bestimmt, ob der Benutzer an einem Tag angesichts des bisherigen Verhaltens in ungewöhnlicher Weise Zugriff auf geschützte Dokumente genommen hat.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Azure Information Protection-Protokolle |
| MITRE ATT&CK-Taktiken: | Sammlung |
| MITRE ATT&CK-Techniken: | T1530 – Daten aus Cloudspeicherobjekt T1213 – Daten aus Informationsrepositorys T1005 – Daten aus lokalem System T1039 – Daten aus dem freigegebenen Netzwerklaufwerk T1114 – E-Mail-Sammlung |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Verdächtiges Volumen von AWS-API-Aufrufen von Nicht-AWS-Quell-IP-Adressen
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von AWS-API-Aufrufen pro Benutzerkonto pro Arbeitsbereich, von Quell-IP-Adressen außerhalb der Quell-IP-Bereiche von AWS innerhalb des letzten Tages. Das Modell wird in den vorangegangenen 21 Tagen vor den AWS CloudTrail-Protokollereignissen nach Quell-IP-Adresse trainiert. Diese Aktivität kann darauf hinweisen, dass das Benutzerkonto kompromittiert ist.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Verdächtiges Volumen von AWS CloudTrail-Protokollereignissen des Gruppenbenutzerkontos durch EventTypeName
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von Ereignissen pro Gruppenbenutzerkonto durch verschiedene Ereignistypen (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction) in Ihrem AWS CloudTrail-Protokoll innerhalb des letzten Tages. Das Modell wird in den vorangegangenen 21 Tagen vor den AWS CloudTrail-Protokollereignissen nach Gruppenbenutzerkonto trainiert. Diese Aktivität kann darauf hinweisen, dass das Konto kompromittiert ist.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Verdächtiges Volumen von AWS-Schreib-API-Aufrufen von einem Benutzerkonto
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von AWS-Schreib-API-Aufrufen pro Benutzerkonto innerhalb des letzten Tages. Das Modell wird in den vorangegangenen 21 Tagen vor den AWS CloudTrail-Protokollereignissen nach Benutzerkonto trainiert. Diese Aktivität kann darauf hinweisen, dass das Konto kompromittiert ist.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Verdächtiges Volumen von fehlgeschlagenen Anmeldeversuchen bei AWS-Konsole durch jedes Gruppenbenutzerkonto
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen fehlgeschlagener Anmeldeversuche bei AWS Console pro Gruppenbenutzerkonto in Ihrem AWS CloudTrail-Protokoll innerhalb des letzten Tages. Das Modell wird in den vorangegangenen 21 Tagen vor den AWS CloudTrail-Protokollereignissen nach Gruppenbenutzerkonto trainiert. Diese Aktivität kann darauf hinweisen, dass das Konto kompromittiert ist.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Verdächtiges Volumen von fehlgeschlagenen Anmeldeversuchen bei AWS-Konsole durch jede Quell-IP-Adresse
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen fehlgeschlagener Anmeldeereignisse bei AWS Console pro Quell-IP-Adresse in Ihrem AWS CloudTrail-Protokoll innerhalb des letzten Tages. Das Modell wird in den vorangegangenen 21 Tagen vor den AWS CloudTrail-Protokollereignissen nach Quell-IP-Adresse trainiert. Diese Aktivität kann darauf hinweisen, dass die IP-Adresse kompromittiert ist.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Verdächtiges Volumen von Anmeldungen auf dem Computer
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen an erfolgreichen Anmeldungen (Sicherheitsereignis-ID 4624) pro Computer am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Verdächtiges Volumen von Anmeldungen am Computer mit Token mit erweiterten Rechten
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen an erfolgreichen Anmeldungen (Sicherheitsereignis-ID 4624) mit Administratorberechtigung pro Computer am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Verdächtiges Volumen von Anmeldungen bei Benutzerkonto
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen an erfolgreichen Anmeldungen (Sicherheitsereignis-ID 4624) pro Benutzerkonto am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Verdächtiges Volumen von Anmeldungen beim Benutzerkonto nach Anmeldetypen
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen an erfolgreichen Anmeldungen (Sicherheitsereignis-ID 4624) pro Benutzerkonto nach unterschiedlichne Anmeldetypen am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Verdächtiges Volumen von Anmeldungen beim Benutzerkonto mit Token mit erweiterten Rechten
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen an erfolgreichen Anmeldungen (Sicherheitsereignis-ID 4624) mit Administratorberechtigung pro Benutzerkonto am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Ungewöhnlicher externer Firewall-Alarm erkannt
Beschreibung: Dieser Algorithmus identifiziert ungewöhnliche externe Firewall-Alarme, die Bedrohungssignaturen sind, die von einem Firewallanbieter veröffentlicht werden. Er verwendet die Aktivitäten der letzten 7 Tage, um die 10 am häufigsten ausgelösten Signaturen und die 10 Hosts zu berechnen, die die meisten Signaturen ausgelöst haben. Nachdem beide Arten von lauten Ereignissen ausgeschlossen wurden, löst er nur eine Anomalie aus, nachdem der Schwellenwert für die Anzahl der Signaturen überschritten wurde, die an einem einzigen Tag ausgelöst wurden.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | CommonSecurityLog (PAN) |
| MITRE ATT&CK-Taktiken: | Ermittlung Befehl und Steuerung |
| MITRE ATT&CK-Techniken: | Ermittlung: T1046 – Netzwerkdienstüberprüfung T1135 – Netzwerkfreigabeermittlung Befehl und Steuerung: T1071 – Anwendungsebenenprotokoll T1095 – Nicht-Anwendungsebenenprotokoll T1571 – Nicht standardmäßiger Port |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Ungewöhnliche Massendowngrade-AIP-Bezeichnung
Beschreibung: Dieser Algorithmus erkennt eine ungewöhnlich hohe Anzahl von Downgrade-Bezeichnungsaktivitäten in Azure Information Protection (AIP)-Protokollen. Er betrachtet „AIP“-Workloaddatensätze für eine bestimmte Anzahl von Tagen und bestimmt die Abfolge der Aktivität, die an Dokumenten ausgeführt wird, zusammen mit der Bezeichnung, die auf ungewöhnliches Volumen von Downgrade-Aktivitäten angewendet wird.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Azure Information Protection-Protokolle |
| MITRE ATT&CK-Taktiken: | Sammlung |
| MITRE ATT&CK-Techniken: | T1530 – Daten aus Cloudspeicherobjekt T1213 – Daten aus Informationsrepositorys T1005 – Daten aus lokalem System T1039 – Daten aus dem freigegebenen Netzwerklaufwerk T1114 – E-Mail-Sammlung |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Ungewöhnliche Netzwerkkommunikation an häufig verwendeten Ports
Beschreibung: Dieser Algorithmus identifiziert ungewöhnliche Netzwerkkommunikation auf häufig verwendeten Ports, indem er den täglichen Datenverkehr mit einer Baseline aus den vorherigen 7 Tagen vergleicht. Dazu gehört der Datenverkehr auf häufig verwendeten Ports (22, 53, 80, 443, 8080, 8888); außerdem wird der tägliche Datenverkehr mit der mittleren und der Standardabweichung mehrerer Netzwerkdatenverkehrsattribute verglichen, die im Basiszeitraum berechnet wurden. Die berücksichtigten Datenverkehrsattribute sind tägliche Ereignisse insgesamt, die tägliche Datenübertragung und die Anzahl unterschiedlicher Quell-IP-Adressen pro Port. Eine Anomalie wird ausgelöst, wenn die täglichen Werte größer als die konfigurierte Anzahl von Standardabweichungen über dem Mittelwert sind.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| MITRE ATT&CK-Taktiken: | Befehl und Steuerung Exfiltration |
| MITRE ATT&CK-Techniken: | Befehl und Steuerung: T1071 – Anwendungsebenenprotokoll Exfiltration: T1030 – Grenzwerte für die Datenübertragungsgröße |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Ungewöhnliche Netzwerkvolumen-Anomalie
Beschreibung: Dieser Algorithmus erkennt eine ungewöhnlich hohe Anzahl von Verbindungen in Netzwerkprotokollen. Er verwendet Zeitreihen, um die Daten zur Berechnung der Baseline in saisonale, Trend- und Restkomponenten zu unterteilen. Jede plötzliche große Abweichung von der historischen Baseline gilt als anomale Aktivität.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| MITRE ATT&CK-Taktiken: | Exfiltration |
| MITRE ATT&CK-Techniken: | T1030 – Grenzwerte für die Datenübertragungsgröße |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Ungewöhnlicher Webdatenverkehr, erkannt mit IP im URL-Pfad
Beschreibung: Dieser Algorithmus identifiziert ungewöhnliche Webanforderungen, in denen eine IP-Adresse als Host aufgelistet ist. Der Algorithmus findet alle Webanforderungen mit IP-Adressen im URL-Pfad und vergleicht sie mit den Daten der vorherigen Woche, um bekannten gutartigen Datenverkehr auszuschließen. Nachdem der bekannte gutartige Datenverkehr ausgeschlossen wurde, löst er eine Anomalie nur dann aus, wenn bestimmte Schwellenwerte mit konfigurierten Werten wie der gesamten Webanforderungen, der Anzahl von URLs, die mit derselben Hostziel-IP-Adresse angezeigt wurden, und der Anzahl der eindeutigen Quell-IPs innerhalb der Gruppe von URLs mit derselben Ziel-IP-Adresse. Dieser Anforderungstyp kann auf einen Versuch hinweisen, URL-Reputationsdienste für böswillige Zwecke zu umgehen.
| attribute | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| MITRE ATT&CK-Taktiken: | Befehl und Steuerung Erstzugriff |
| MITRE ATT&CK-Techniken: | Befehl und Steuerung: T1071 – Anwendungsebenenprotokoll Erstzugriff: T1189 – Drive-by-Kompromittierung |
Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang
Nächste Schritte
Erfahren Sie mehr über durch maschinelles Lernen generierte Anomalien in Microsoft Sentinel.
Erfahren Sie, wie Sie mit Anomalieregeln arbeiten.
Untersuchen Sie Vorfälle mit Microsoft Sentinel.