Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel sind die Anomalien aufgeführt, die Microsoft Sentinel mit verschiedenen Machine Learning-Modellen erkennt.
Anomalien werden erkannt, indem das Verhalten der Benutzer in einer Umgebung über einen Zeitraum analysiert wird und indem eine Baseline für legitime Aktivitäten erstellt wird. Sobald die Baseline festgelegt wurde, wird jede Aktivität außerhalb der normalen Parameter als anomale und daher verdächtiger Aktivität betrachtet.
Microsoft Sentinel verwendet zwei verschiedene Modelle, um Baselines zu erstellen und Anomalien zu erkennen.
Note
Die folgenden Anomalieerkennungen werden am 26. März 2024 aufgrund geringer Qualität der Ergebnisse eingestellt:
- Domänenzuverlässigkeits-Palo-Alto-Anomalie
- Anmeldungen in mehreren Regionen an einem einzigen Tag über Palo Alto GlobalProtect
Important
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.
Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.
Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".
UEBA anomalies
Sentinel UEBA erkennt Anomalien auf der Grundlage dynamischer Baselines, die für jede Entität über verschiedene Dateneingaben erstellt werden. Das Basisverhalten jeder Entität wird gemäß ihren eigenen bisherigen Aktivitäten, denen ihrer Peers und denen der Organisation als Ganzes festgelegt. Anomalien können durch die Korrelation verschiedener Attribute wie Aktionstyp, geografischer Standort, Gerät, Ressource, ISP etc. ausgelöst werden.
Sie müssen das UEBA-Feature aktivieren , damit UEBA-Anomalien erkannt werden.
- Anomale Kontozugriffsentfernung
- Anomale Kontoerstellung
- Anomale Kontolöschung
- Anomale Kontomanipulation
- Anomale Codeausführung (UEBA)
- Anomale Datenvernichtung
- Anomale Abwehrmechanismusänderung
- Anomaliefehler bei der Anmeldung
- Anomale Kennwortzurücksetzung
- Anomale Berechtigungen gewährt
- Anomalous Sign-in
Entfernen anomaler Kontozugriffe
Description: An attacker may interrupt the availability of system and network resources by blocking access to accounts used by legitimate users. Der Angreifer kann ein Konto löschen, sperren oder bearbeiten (z. B. durch Ändern seiner Anmeldeinformationen), damit nicht mehr darauf zugegriffen werden kann.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Azure-Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Impact |
| MITRE ATT&CK-Techniken: | T1531 – Entfernen des Kontozugriffs |
| Activity: | Microsoft.Authorization/roleAssignments/delete Log Out |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
Anomale Kontoerstellung
Description: Adversaries may create an account to maintain access to targeted systems. Auf der entsprechenden Zugriffsebene kann durch die Erstellung dieser Konten der Zugriff auf sekundäre Konten hergestellt werden, ohne dass auf dem System Tools für den Remotezugriff dauerhaft bereitgestellt werden müssen.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Persistence |
| MITRE ATT&CK-Techniken: | T1136 – Konto erstellen |
| MITRE ATT&CK-Untertechniken: | Cloud Account |
| Activity: | Kernverzeichnis/Benutzerverwaltung/Benutzer hinzufügen |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
Anomale Kontolöschung
Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Konten können gelöscht, gesperrt oder bearbeitet werden (z. B. geänderte Anmeldeinformationen), damit nicht mehr auf die Konten zugegriffen werden kann.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Impact |
| MITRE ATT&CK-Techniken: | T1531 – Entfernen des Kontozugriffs |
| Activity: | Kernverzeichnis/Benutzerverwaltung/Benutzer löschen Kernverzeichnis/Gerät/Benutzer löschen Kernverzeichnis/Benutzerverwaltung/Benutzer löschen |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
Anomale Kontobearbeitung
Description: Adversaries may manipulate accounts to maintain access to target systems. Diese Aktionen umfassen das Hinzufügen neuer Konten zu privilegierten Gruppen. Dragonfly 2.0 hat beispielsweise neu erstellte Konten zu Administratorengruppen hinzugefügt, um erhöhte Zugriffsrechte aufrechtzuerhalten. Mit der folgenden Abfrage wird die Ausgabe aller Benutzer mit hohem Wirkungsgrad generiert, die „Benutzer aktualisieren“ (Namensänderung) für privilegierte Rollen ausführen, oder solche, bei denen die Benutzer zum ersten Mal geändert wurden.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Persistence |
| MITRE ATT&CK-Techniken: | T1098 – Kontobearbeitung |
| Activity: | Kernverzeichnis/Benutzerverwaltung/Benutzer aktualisieren |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
Anomale Codeausführung (UEBA)
Description: Adversaries may abuse command and script interpreters to execute commands, scripts, or binaries. Diese Schnittstellen und Sprachen bieten Möglichkeiten für die Interaktion mit Computersystemen und sind ein gemeinsames Feature vieler verschiedener Plattformen.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Azure-Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Execution |
| MITRE ATT&CK-Techniken: | T1059 – Befehls- und Skript-Interpreter |
| MITRE ATT&CK-Untertechniken: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
Anomale Datenvernichtung
Description: Adversaries may destroy data and files on specific systems or in large numbers on a network to interrupt availability to systems, services, and network resources. Durch die Datenvernichtung werden gespeicherte Daten durch forensische Techniken durch Überschreiben von Dateien oder Daten auf lokalen und Remotelaufwerken unwiederherstellbar.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Azure-Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Impact |
| MITRE ATT&CK-Techniken: | T1485 – Datenvernichtung |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
Anomale Änderung des Defensivmechanismus
Description: Adversaries may disable security tools to avoid possible detection of their tools and activities.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Azure-Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Defense Evasion |
| MITRE ATT&CK-Techniken: | T1562 – Verteidigung beeinträchtigen |
| MITRE ATT&CK-Untertechniken: | Deaktivieren oder Ändern von Tools Deaktivieren oder Ändern der Cloudfirewall |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
Anomale fehlgeschlagene Anmeldung
Description: Adversaries with no prior knowledge of legitimate credentials within the system or environment may guess passwords to attempt access to accounts.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra-Anmeldeprotokolle Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Credential Access |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
| Activity: |
Microsoft Entra-ID: Anmeldeaktivität Windows Security: Failed login (Event ID 4625) |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
Anomale Kennwortzurücksetzung
Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Konten können gelöscht, gesperrt oder bearbeitet werden (z. B. geänderte Anmeldeinformationen), damit nicht mehr auf die Konten zugegriffen werden kann.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Impact |
| MITRE ATT&CK-Techniken: | T1531 – Entfernen des Kontozugriffs |
| Activity: | Kernverzeichnis/Benutzerverwaltung/Benutzerkennwortzurücksetzung |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
Anomale Berechtigungen gewährt
Description: Adversaries may add adversary-controlled credentials for Azure Service Principals in addition to existing legitimate credentials to maintain persistent access to victim Azure accounts.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Persistence |
| MITRE ATT&CK-Techniken: | T1098 – Kontobearbeitung |
| MITRE ATT&CK-Untertechniken: | Zusätzliche Anmeldeinformationen für Azure-Dienstprinzipale |
| Activity: | Kontobereitstellung/Anwendungsverwaltung/App-Rollenzuweisung zum Dienstprinzipal hinzufügen |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
Anomalous Sign-in
Description: Adversaries may steal the credentials of a specific user or service account using Credential Access techniques or capture credentials earlier in their reconnaissance process through social engineering for means of gaining Persistence.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra-Anmeldeprotokolle Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Persistence |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
| Activity: |
Microsoft Entra-ID: Anmeldeaktivität Windows Security: Successful login (Event ID 4624) |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
Machine Learning-basierte Anomalien
Die auf Machine Learning basierenden anpassbaren Anomalien von Microsoft Sentinel können anomales Verhalten mithilfe von sofort einsatzbereiten Analyseregelvorlagen erkennen. Anomalien weisen zwar nicht zwangsläufig auf schädliches oder sogar verdächtiges Verhalten hin, können aber verwendet werden, um die Erkennungen, Untersuchungen und Bedrohungssuche zu verbessern.
- Anomale Azure-Vorgänge
- Anomale Codeausführung
- Anomale lokale Kontoerstellung
- Anomale Benutzeraktivitäten in Office Exchange
- Versuchter Computer brute force
- Versuch eines Brute-Force-Benutzerkontos
- Versuchter Benutzerkonto-Brute-Force pro Anmeldetyp
- Versuchter Benutzerkonto-Brute-Force pro Fehlergrund
- Erkennen des vom Computer generierten Netzwerkbeaconsverhaltens
- Domänengenerierungsalgorithmus (DGA) für DNS-Domänen
- Übermäßige Downloads über Palo Alto GlobalProtect
- Übermäßige Uploads über Palo Alto GlobalProtect
- Potenzieller Domänengenerierungsalgorithmus (DGA) für DNS-Domänen der nächsten Ebene
- Verdächtiges Volumen von AWS-API-Aufrufen aus nicht-AWS-Quell-IP-Adresse
- Verdächtiges Volumen von AWS-API-Schreibaufrufen aus einem Benutzerkonto
- Verdächtiges Volumen von Anmeldungen auf dem Computer
- Verdächtiges Volumen von Anmeldungen am Computer mit erhöhten Token
- Verdächtiges Volumen von Anmeldungen bei Einem Benutzerkonto
- Verdächtige Anzahl von Anmeldungen bei Benutzerkonten nach Anmeldetypen
- Verdächtiges Volumen von Anmeldungen bei Einem Benutzerkonto mit erhöhten Rechten
Anomale Azure-Vorgänge
Description: This detection algorithm collects 21 days' worth of data on Azure operations grouped by user to train this ML model. Anschließend generiert der Algorithmus Anomalien im Falle von Benutzern, die Sequenzen von Vorgängen ausgeführt haben, die in ihren Arbeitsbereichen selten vorkommen. Das trainierte ML-Modell bewertet die vom Benutzer ausgeführten Vorgänge und betrachtet Anomalien, deren Bewertung oberhalb des definierten Schwellenwerts liegt.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | Azure-Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Initial Access |
| MITRE ATT&CK-Techniken: | T1190 – Öffentliche Anwendung ausnutzen |
Zurück zur Liste | Zurück zum Anfang
Anomale Codeausführung
Description: Attackers may abuse command and script interpreters to execute commands, scripts, or binaries. Diese Schnittstellen und Sprachen bieten Möglichkeiten für die Interaktion mit Computersystemen und sind ein gemeinsames Feature vieler verschiedener Plattformen.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | Azure-Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Execution |
| MITRE ATT&CK-Techniken: | T1059 – Befehls- und Skript-Interpreter |
Zurück zur Liste | Zurück zum Anfang
Anomale lokale Kontoerstellung
Description: This algorithm detects anomalous local account creation on Windows systems. Angreifer können lokale Konten erstellen, um den Zugriff auf Zielsysteme aufrechtzuerhalten. Dieser Algorithmus analysiert die lokale Kontoerstellungsaktivität über die vergangenen 14 Tage nach Benutzern. Es sucht nach ähnlichen tagesaktuellen Aktivitäten von Benutzern, die zuvor nicht in den Verlaufsaktivitäten aufgefallen sind. Sie können eine Zulassungsliste festlegen, um bekannte Benutzer herauszufiltern, damit diese Anomalie nicht ausgelöst wird.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Persistence |
| MITRE ATT&CK-Techniken: | T1136 – Konto erstellen |
Zurück zur Liste | Zurück zum Anfang
Anomale Benutzeraktivitäten in Office Exchange
Description: This machine learning model groups the Office Exchange logs on a per-user basis into hourly buckets. Eine Stunde wird als Sitzung definiert. Das Modell wird anhand des Verhaltens der vorangegangenen 7 Tage für alle regulären (Nicht-Administrator-)Benutzer trainiert. Office Exchange-Sitzungen mit anomalen Benutzern werden am letzten Tag angegeben.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | Office-Aktivitätsprotokoll (Exchange) |
| MITRE ATT&CK-Taktiken: | Persistence Collection |
| MITRE ATT&CK-Techniken: |
Collection: T1114 – E-Mail-Sammlung T1213 – Daten aus Informationsrepositorys Persistence: T1098 – Kontobearbeitung T1136 – Konto erstellen T1137 – Office-Anwendungsstart T1505 – Serversoftwarekomponente |
Zurück zur Liste | Zurück zum Anfang
Versuchter Computer Brute-Force
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per computer over the past day. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Credential Access |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
Zurück zur Liste | Zurück zum Anfang
Versuchter Benutzerkonto-Brute-Force
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account over the past day. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Credential Access |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
Zurück zur Liste | Zurück zum Anfang
Versuchter Benutzerkonto-Brute-Force je Anmeldetyp
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per logon type over the past day. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Credential Access |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
Zurück zur Liste | Zurück zum Anfang
Versuchter Benutzerkonto-Brute-Force je Fehlergrund
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per failure reason over the past day. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Credential Access |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
Zurück zur Liste | Zurück zum Anfang
Computergeneriertes Netzwerk-Beaconing-Verhalten erkennen
Description: This algorithm identifies beaconing patterns from network traffic connection logs based on recurrent time delta patterns. Jede Netzwerkverbindung zu nicht vertrauenswürdigen öffentlichen Netzwerken bei wiederholten Deltas ist ein Hinweis auf Malware-Rückrufe oder Datenexfiltrationsversuche. Der Algorithmus berechnet das Zeitdelta zwischen aufeinander folgenden Netzwerkverbindungen zwischen derselben Quell-IP und Ziel-IP sowie die Anzahl der Verbindungen in einer Zeit-Delta-Sequenz zwischen denselben Quellen und Zielen. Der Beaconing-Prozentsatz wird in Form der Verbindungen in der Zeit-Delta-Sequenz mit Gesamtverbindungen in einem Tag berechnet.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | CommonSecurityLog (PAN) |
| MITRE ATT&CK-Taktiken: | Command-and-Control |
| MITRE ATT&CK-Techniken: | T1071 – Anwendungsebenenprotokoll T1132 – Datencodierung T1001 – Datenverschleierung T1568 – Dynamische Auflösung T1573 – Verschlüsselter Kanal T1008 – Fallbackkanäle T1104 – Mehrstufige Kanäle T1095 – Nicht-Anwendungsebenenprotokoll T1571 – Nicht standardmäßiger Port T1572 – Protokolltunnelung T1090 – Proxy T1205 – Datenverkehrssignalisierung T1102 – Webdienst |
Zurück zur Liste | Zurück zum Anfang
Domänengenerierungsalgorithmus (DGA) für DNS-Domänen
Description: This machine learning model indicates potential DGA domains from the past day in the DNS logs. Der Algorithmus gilt für DNS-Datensätze, die zu IPv4- und IPv6-Adressen aufgelöst werden.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | DNS Events |
| MITRE ATT&CK-Taktiken: | Command-and-Control |
| MITRE ATT&CK-Techniken: | T1568 – Dynamische Auflösung |
Zurück zur Liste | Zurück zum Anfang
Übermäßige Downloads über Palo Alto GlobalProtect
Description: This algorithm detects unusually high volume of download per user account through the Palo Alto VPN solution. Das Modell wird an den den VPN-Protokollen vorangegangenen 14 Tagen trainiert. Es weist auf ein anomal hohes Volumen an Downloads am letzten Tag hin.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-Taktiken: | Exfiltration |
| MITRE ATT&CK-Techniken: | T1030 – Grenzwerte für die Datenübertragungsgröße T1041 – Exfiltration über C2-Kanal T1011 – Exfiltration über anderes Netzwerkmedium T1567 – Exfiltration über Webdienst T1029 – Geplante Übertragung T1537 – Daten an Cloudkonto übertragen |
Zurück zur Liste | Zurück zum Anfang
Übermäßige Uploads über Palo Alto GlobalProtect
Description: This algorithm detects unusually high volume of upload per user account through the Palo Alto VPN solution. Das Modell wird an den den VPN-Protokollen vorangegangenen 14 Tagen trainiert. Es weist auf ein anomal hohes Volumen an Uploads am letzten Tag hin.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-Taktiken: | Exfiltration |
| MITRE ATT&CK-Techniken: | T1030 – Grenzwerte für die Datenübertragungsgröße T1041 – Exfiltration über C2-Kanal T1011 – Exfiltration über anderes Netzwerkmedium T1567 – Exfiltration über Webdienst T1029 – Geplante Übertragung T1537 – Daten an Cloudkonto übertragen |
Zurück zur Liste | Zurück zum Anfang
Potenzieller Domänengenerierungsalgorithmus (DGA) auf DNS-Domänen der nächsten Ebene
Description: This machine learning model indicates the next-level domains (third-level and up) of the domain names from the last day of DNS logs that are unusual. Sie könnten möglicherweise die Ausgabe eines Domänengenerierungsalgorithmus (DGA) sein. Die Anomalie gilt für die DNS-Datensätze, die zu IPv4- und IPv6-Adressen aufgelöst werden.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | DNS Events |
| MITRE ATT&CK-Taktiken: | Command-and-Control |
| MITRE ATT&CK-Techniken: | T1568 – Dynamische Auflösung |
Zurück zur Liste | Zurück zum Anfang
Verdächtiges Volumen von AWS-API-Aufrufen von Nicht-AWS-Quell-IP-Adressen
Description: This algorithm detects an unusually high volume of AWS API calls per user account per workspace, from source IP addresses outside of AWS's source IP ranges, within the last day. Das Modell wird in den vorangegangenen 21 Tagen vor den AWS CloudTrail-Protokollereignissen nach Quell-IP-Adresse trainiert. Diese Aktivität kann darauf hinweisen, dass das Benutzerkonto kompromittiert ist.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Initial Access |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | Zurück zum Anfang
Verdächtiges Volumen von AWS-Schreib-API-Aufrufen von einem Benutzerkonto
Description: This algorithm detects an unusually high volume of AWS write API calls per user account within the last day. Das Modell wird in den vorangegangenen 21 Tagen vor den AWS CloudTrail-Protokollereignissen nach Benutzerkonto trainiert. Diese Aktivität kann darauf hinweisen, dass das Konto kompromittiert ist.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Initial Access |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | Zurück zum Anfang
Verdächtiges Volumen von Anmeldungen auf dem Computer
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per computer over the past day. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Initial Access |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | Zurück zum Anfang
Verdächtiges Volumen von Anmeldungen am Computer mit Token mit erweiterten Rechten
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per computer, over the last day. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Initial Access |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | Zurück zum Anfang
Verdächtiges Volumen von Anmeldungen bei Benutzerkonto
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account over the past day. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Initial Access |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | Zurück zum Anfang
Verdächtiges Volumen von Anmeldungen beim Benutzerkonto nach Anmeldetypen
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account, by different logon types, over the past day. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Initial Access |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | Zurück zum Anfang
Verdächtiges Volumen von Anmeldungen beim Benutzerkonto mit Token mit erweiterten Rechten
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per user account, over the last day. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| Attribute | Value |
|---|---|
| Anomaly type: | Anpassbares maschinelles Lernen |
| Data sources: | Windows-Sicherheitsprotokolle |
| MITRE ATT&CK-Taktiken: | Initial Access |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | Zurück zum Anfang
Next steps
Erfahren Sie mehr über machine learning-generierte Anomalien in Microsoft Sentinel.
Erfahren Sie, wie Sie mit Anomalieregeln arbeiten.
Investigate incidents with Microsoft Sentinel.