Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Sentinel erkennt Anomalien, indem das Verhalten von Benutzern in einer Umgebung über einen bestimmten Zeitraum analysiert und eine Baseline legitimer Aktivitäten erstellt wird. Sobald die Baseline festgelegt ist, wird jede Aktivität außerhalb der normalen Parameter als anormal und daher verdächtig betrachtet.
Microsoft Sentinel verwendet zwei Modelle, um Baselines zu erstellen und Anomalien zu erkennen.
In diesem Artikel werden die Anomalien aufgeführt, die Microsoft Sentinel mithilfe verschiedener Machine Learning-Modelle erkennen.
In der Tabelle Anomalien :
- Die
rulenameSpalte gibt die Regel an, Sentinel verwendet wird, um jede Anomalie zu identifizieren. - Die
scoreSpalte enthält einen numerischen Wert zwischen 0 und 1, der den Grad der Abweichung vom erwarteten Verhalten quantifiziert. Höhere Bewertungen deuten auf eine größere Abweichung von der Baseline hin und sind wahrscheinlicher, dass es sich um echte Anomalien handelt. Niedrigere Bewertungen können immer noch anomale Werte sein, sind aber weniger wahrscheinlich signifikant oder umsetzbar.
Hinweis
Diese Anomalieerkennungen werden ab dem 8. März 2026 aufgrund einer geringen Qualität der Ergebnisse eingestellt:
- Domänengenerierungsalgorithmus (DGA) für DNS-Domänen
- Potenzieller Domänengenerierungsalgorithmus (DGA) für DNS-Domänen der nächsten Ebene
Vergleichen von UEBA- und Machine Learning-basierten Anomalien
UEBA- und ML-basierte Anomalien sind komplementäre Ansätze für die Anomalieerkennung. Beide füllen die Anomalies Tabelle auf, erfüllen jedoch unterschiedliche Zwecke:
| Aspekt | UEBA-Anomalien | ML-Regeln zur Erkennung von Anomalien |
|---|---|---|
| Fokus | Wer verhält sich ungewöhnlich? | Welche Aktivität ist ungewöhnlich? |
| Erkennungsansatz | Entitätsorientierte Verhaltensbaselines im Vergleich mit historischen Aktivitäts-, Peerverhaltens- und organization-weiten Mustern | Anpassbare Regelvorlagen mit statistischen und ML-Modellen, die mit bestimmten Datenmustern trainiert wurden |
| Baselinequelle | Der eigene Verlauf, die Peergruppe und organization jeder Entität | Trainingszeitraum (in der Regel 7 bis 21 Tage) für bestimmte Ereignistypen |
| Anpassung | Aktiviert/deaktiviert mithilfe von UEBA-Einstellungen | Abstimmbare Schwellenwerte und Parameter über die Benutzeroberfläche der Analyseregel |
| Beispiele | Anomale Anmeldung, Anomale Kontoerstellung, anomale Berechtigungsänderung | Versuchter Brute-Force-Vorgang, übermäßige Downloads, Netzwerkbeacons |
Weitere Informationen finden Sie unter:
UEBA-Anomalien
Sentinel UEBA erkennt Anomalien basierend auf dynamischen Baselines, die für jede Entität über verschiedene Dateneingaben hinweg erstellt wurden. Das Baselineverhalten jeder Entität wird entsprechend ihren eigenen historischen Aktivitäten, denen ihrer Peers und denen der organization als Ganzes festgelegt. Anomalien können durch die Korrelation verschiedener Attribute wie Aktionstyp, geografischer Standort, Gerät, Ressource, ISP usw. ausgelöst werden.
Sie müssen die UEBA- und Anomalieerkennung in Ihrem Sentinel Arbeitsbereich aktivieren, um UEBA-Anomalien zu erkennen.
UEBA erkennt Anomalien basierend auf diesen Anomalieregeln:
- Entfernen des Anomalen Kontozugriffs für UEBA
- Erstellen eines anomalen UEBA-Kontos
- Löschen von UEBA-Konten
- Anormale UEBA-Kontobearbeitung
- Anomale UEBA-Aktivität in GCP-Überwachungsprotokollen
- UEBA-Anomale Aktivität in Okta_CL
- Anormale UEBA-Authentifizierung
- UEBA:Anomale Codeausführung
- UEBA Anomale Datenvernichtung
- UEBA Anomale Datenübertragung von Amazon S3
- UEBA Anomale Abwehrmechanismusänderung
- UEBA Anomale Anmeldung fehlgeschlagen
- UEBA Anomale Verbund- oder SAML-Identitätsaktivität in AwsCloudTrail
- UEBA Anomale IAM-Berechtigungsänderung in AwsCloudTrail
- UEBA Anomale Anmeldung in AwsCloudTrail
- UEBA Anomale MFA-Fehler in Okta_CL
- UEBA Anomale Kennwortzurücksetzung
- Anomale UEBA-Berechtigung gewährt
- UEBA-Zugriff auf anomales Geheimnis oder KMS-Schlüssel in AwsCloudTrail
- UEBA Anomale Anmeldung
- UEBA Anomales STS-AssumeRole-Verhalten in AwsCloudTrail
Sentinel verwendet angereicherte Daten aus der BehaviorAnalytics-Tabelle, um UEBA-Anomalien mit einer für Ihren Mandanten und Ihre Quelle spezifischen Zuverlässigkeitsbewertung zu identifizieren.
Entfernen des Anomalen Kontozugriffs für UEBA
Beschreibung: Ein Angreifer kann die Verfügbarkeit von System- und Netzwerkressourcen unterbrechen, indem er den Zugriff auf Konten blockiert, die von legitimen Benutzern verwendet werden. Der Angreifer kann ein Konto löschen, sperren oder bearbeiten (z. B. durch Ändern der Anmeldeinformationen), um den Zugriff darauf zu entfernen.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Azure-Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Auswirkung |
| MITRE ATT&CK-Techniken: | T1531 : Entfernen des Kontozugriffs |
| Aktivität: | Microsoft.Authorization/roleAssignments/delete Abmelden |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
Erstellen eines anomalen UEBA-Kontos
Beschreibung: Angreifer können ein Konto erstellen, um den Zugriff auf Zielsysteme aufrechtzuerhalten. Bei einer ausreichenden Zugriffsebene kann das Erstellen solcher Konten verwendet werden, um sekundären Zugriff mit Anmeldeinformationen einzurichten, ohne dass permanente Remotezugriffstools auf dem System bereitgestellt werden müssen.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Persistenz |
| MITRE ATT&CK-Techniken: | T1136 – Konto erstellen |
| MITRE ATT&CK-Untertechniken: | Cloudkonto |
| Aktivität: | Core Directory/UserManagement/Add user |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
Löschen von UEBA-Konten
Beschreibung: Angreifer können die Verfügbarkeit von System- und Netzwerkressourcen unterbrechen, indem sie den Zugriff auf Konten verhindern, die von legitimen Benutzern genutzt werden. Konten können gelöscht, gesperrt oder bearbeitet werden (z. B. geänderte Anmeldeinformationen), um den Zugriff auf Konten zu entfernen.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Auswirkung |
| MITRE ATT&CK-Techniken: | T1531 : Entfernen des Kontozugriffs |
| Aktivität: | Core Directory/UserManagement/Delete user Core Directory/Device/Delete user Core Directory/UserManagement/Delete user |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
Anormale UEBA-Kontobearbeitung
Beschreibung: Angreifer können Konten manipulieren, um den Zugriff auf Zielsysteme aufrechtzuerhalten. Diese Aktionen umfassen das Hinzufügen neuer Konten zu Gruppen mit hohen Berechtigungen. Dragonfly 2.0 hat der Gruppe "Administratoren" beispielsweise neu erstellte Konten hinzugefügt, um den erhöhten Zugriff aufrechtzuerhalten. Die folgende Abfrage generiert eine Ausgabe aller Benutzer mit hohem Radius, die "Benutzer aktualisieren" (Namensänderung) in eine privilegierte Rolle ausführen, oder von Benutzern, die benutzer zum ersten Mal geändert haben.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Persistenz |
| MITRE ATT&CK-Techniken: | T1098 – Kontobearbeitung |
| Aktivität: | Core Directory/UserManagement/Update user |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
Anomale UEBA-Aktivität in GCP-Überwachungsprotokollen
Beschreibung: Fehlgeschlagene Zugriffsversuche auf Google Cloud Platform-Ressourcen (GCP) basierend auf IAM-bezogenen Einträgen in GCP-Überwachungsprotokollen. Diese Fehler können falsch konfigurierte Berechtigungen, Versuche, auf nicht autorisierte Dienste zuzugreifen, oder Verhaltensweisen von Angreifern in frühen Phasen wie Berechtigungsüberprüfung oder Persistenz über Dienstkonten widerspiegeln.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | GCP-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Suche |
| MITRE ATT&CK-Techniken: | T1087 – Kontoermittlung, T1069 – Ermittlung von Berechtigungsgruppen |
| Aktivität: | iam.googleapis.com |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
UEBA-Anomale Aktivität in Okta_CL
Beschreibung: Unerwartete Authentifizierungsaktivität oder sicherheitsbezogene Konfigurationsänderungen in Okta, einschließlich Änderungen an Anmelderegeln, Erzwingung der mehrstufigen Authentifizierung (MFA) oder Administratorrechten. Diese Aktivität kann auf Versuche hinweisen, die Identitätssicherheitskontrollen zu ändern oder den Zugriff durch privilegierte Änderungen aufrechtzuerhalten.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Okta Cloud Logs |
| MITRE ATT&CK-Taktiken: | Persistenz, Rechteausweitung |
| MITRE ATT&CK-Techniken: | T1098 – Kontobearbeitung, T1556 – Authentifizierungsprozess ändern |
| Aktivität: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
Anormale UEBA-Authentifizierung
Beschreibung: Ungewöhnliche Authentifizierungsaktivität für Signale von Microsoft Defender for Endpoint und Microsoft Entra ID, einschließlich Geräteanmeldungen, Anmeldungen verwalteter Identitäten und Dienstprinzipalauthentifizierungen von Microsoft Entra ID. Diese Anomalien können auf Missbrauch von Anmeldeinformationen, nicht-menschliche Identitätsmissbrauch oder Lateral Movement-Versuche außerhalb typischer Zugriffsmuster hindeuten.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Defender for Endpoint, Microsoft Entra ID |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
| Aktivität: |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
UEBA:Anomale Codeausführung
Beschreibung: Angreifer können Befehls- und Skriptinterpreter missbrauchen, um Befehle, Skripts oder Binärdateien auszuführen. Diese Schnittstellen und Sprachen bieten Möglichkeiten der Interaktion mit Computersystemen und sind ein gemeinsames Feature auf vielen verschiedenen Plattformen.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Azure-Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Ausführung |
| MITRE ATT&CK-Techniken: | T1059 – Befehls- und Skriptinterpreter |
| MITRE ATT&CK-Untertechniken: | PowerShell |
| Aktivität: | Microsoft.Compute/virtualMachines/runCommand/action |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
UEBA Anomale Datenvernichtung
Beschreibung: Angreifer können Daten und Dateien auf bestimmten Systemen oder in großer Anzahl in einem Netzwerk zerstören, um die Verfügbarkeit von Systemen, Diensten und Netzwerkressourcen zu unterbrechen. Die Datenvernichtung macht gespeicherte Daten wahrscheinlich durch forensische Techniken unwiederbringlich, indem Dateien oder Daten auf lokalen und Remotelaufwerken überschrieben werden.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Azure-Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Auswirkung |
| MITRE ATT&CK-Techniken: | T1485 - Datenvernichtung |
| Aktivität: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
UEBA Anomale Datenübertragung von Amazon S3
Beschreibung: Abweichungen bei Datenzugriffs- oder Downloadmustern von Amazon Simple Storage Service (S3). Die Anomalie wird anhand von Verhaltensbaselines für jeden Benutzer, Dienst und jede Ressource bestimmt, wobei das Datenübertragungsvolumen, die Häufigkeit und die Anzahl der abgerufenen Objekte mit historischen Normen verglichen werden. Erhebliche Abweichungen wie der erstmalige Massenzugriff, ungewöhnlich große Datenabrufe oder Aktivitäten von neuen Standorten oder Anwendungen können auf eine potenzielle Datenexfiltration, Richtlinienverstöße oder den Missbrauch kompromittierter Anmeldeinformationen hinweisen.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Exfiltration |
| MITRE ATT&CK-Techniken: | T1567 – Exfiltration über Webdienst |
| Aktivität: | PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
UEBA Anomale Abwehrmechanismusänderung
Beschreibung: Angreifer können Sicherheitstools deaktivieren, um eine mögliche Erkennung ihrer Tools und Aktivitäten zu vermeiden.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Azure-Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Verteidigungsumgehung |
| MITRE ATT&CK-Techniken: | T1562 – Abwehrmaßnahmen beeinträchtigen |
| MITRE ATT&CK-Untertechniken: | Deaktivieren oder Ändern von Tools Deaktivieren oder Ändern von Cloud Firewall |
| Aktivität: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
UEBA Anomale Anmeldung fehlgeschlagen
Beschreibung: Angreifer, die keine Vorkenntnisse über legitime Anmeldeinformationen innerhalb des Systems oder der Umgebung haben, erraten möglicherweise Kennwörter, um den Zugriff auf Konten zu versuchen.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra Von Anmeldeprotokollen Windows-Sicherheit Protokolle |
| MITRE ATT&CK-Taktiken: | Zugriff auf Anmeldeinformationen |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
| Aktivität: |
Microsoft Entra ID: Anmeldeaktivität Windows-Sicherheit: Fehlgeschlagene Anmeldung (Ereignis-ID 4625) |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
UEBA Anomale Verbund- oder SAML-Identitätsaktivität in AwsCloudTrail
Beschreibung: Ungewöhnliche Aktivitäten durch Verbundidentitäten oder SAML-basierte Identitäten (Security Assertion Markup Language) mit erstmaligen Aktionen, unbekannten geografischen Standorten oder übermäßigen API-Aufrufen. Solche Anomalien können auf Sitzungs-Hijacking oder den Missbrauch von Verbundanmeldeinformationen hinweisen.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff, Persistenz |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten, T1550 – Alternatives Authentifizierungsmaterial verwenden |
| Aktivität: | UserAuthentication (EXTERNAL_IDP) |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
UEBA Anomale IAM-Berechtigungsänderung in AwsCloudTrail
Beschreibung: Abweichungen im administrativen Verhalten der Identitäts- und Zugriffsverwaltung (IAM), z. B. erstmaliges Erstellen, Ändern oder Löschen von Rollen, Benutzern und Gruppen oder Anhängen neuer Inline- oder verwalteter Richtlinien. Diese können auf Rechteausweitung oder Richtlinienmissbrauch hinweisen.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Rechteausweitung, Persistenz |
| MITRE ATT&CK-Techniken: | T1136 – Konto erstellen, T1098 – Kontobearbeitung |
| Aktivität: | Erstellen, Hinzufügen, Anfügen, Löschen, Deaktivieren, Put und Aktualisieren auf iam.amazonaws.com, sso-directory.amazonaws.com |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
UEBA Anomale Anmeldung in AwsCloudTrail
Beschreibung: Ungewöhnliche Anmeldeaktivitäten in AWS-Diensten (Amazon Web Services) basierend auf CloudTrail-Ereignissen wie ConsoleLogin und anderen Authentifizierungsattributen. Anomalien werden durch Abweichungen im Benutzerverhalten basierend auf Attributen wie Geolocation, Gerätefingerabdruck, ISP und Zugriffsmethode bestimmt und können auf nicht autorisierte Zugriffsversuche oder potenzielle Richtlinienverstöße hinweisen.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
| Aktivität: | ConsoleLogin |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
UEBA Anomale MFA-Fehler in Okta_CL
Beschreibung: Ungewöhnliche Muster fehlgeschlagener MFA-Versuche in Okta. Diese Anomalien können auf Kontomissbrauch, Zeugung von Anmeldeinformationen oder die unsachgemäße Verwendung von Mechanismen vertrauenswürdiger Geräte resultieren und häufig verhaltensweisen in frühen Phasen widergespiegelt werden, z. B. das Testen gestohlener Anmeldeinformationen oder das Überprüfen von Identitätsschutzmechanismen.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Okta Cloud Logs |
| MITRE ATT&CK-Taktiken: | Persistenz, Rechteausweitung |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten, T1556 – Authentifizierungsprozess ändern |
| Aktivität: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
UEBA Anomale Kennwortzurücksetzung
Beschreibung: Angreifer können die Verfügbarkeit von System- und Netzwerkressourcen unterbrechen, indem sie den Zugriff auf Konten verhindern, die von legitimen Benutzern genutzt werden. Konten können gelöscht, gesperrt oder bearbeitet werden (z. B. geänderte Anmeldeinformationen), um den Zugriff auf Konten zu entfernen.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Auswirkung |
| MITRE ATT&CK-Techniken: | T1531 : Entfernen des Kontozugriffs |
| Aktivität: | Core Directory/UserManagement/Benutzerkennwortzurücksetzung |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
Anomale UEBA-Berechtigung gewährt
Beschreibung: Angreifer können zusätzlich zu vorhandenen legitimen Anmeldeinformationen auch von Angreifern kontrollierte Anmeldeinformationen für Azure-Dienstprinzipale hinzufügen, um den dauerhaften Zugriff auf Opferkonten Azure aufrechtzuerhalten.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Persistenz |
| MITRE ATT&CK-Techniken: | T1098 – Kontobearbeitung |
| MITRE ATT&CK-Untertechniken: | Zusätzliche Azure-Dienstprinzipalanmeldeinformationen |
| Aktivität: | Kontobereitstellung/Anwendungsverwaltung/Hinzufügen der App-Rollenzuweisung zum Dienstprinzipal |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
UEBA-Zugriff auf anomales Geheimnis oder KMS-Schlüssel in AwsCloudTrail
Beschreibung: Verdächtiger Zugriff auf AWS Secrets Manager- oder KMS-Ressourcen (Key Management Service). Der erstmalige Zugriff oder eine ungewöhnlich hohe Zugriffshäufigkeit kann auf das Sammeln von Anmeldeinformationen oder auf Versuche zur Datenexfiltration hinweisen.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Zugriff auf Anmeldeinformationen, Sammlung |
| MITRE ATT&CK-Techniken: | T1555 – Anmeldeinformationen aus Kennwortspeichern |
| Aktivität: | GetSecretValue BatchGetSecretValue ListKeys ListSecrets PutSecretValue CreateSecret UpdateSecret DeleteSecret CreateKey PutKeyPolicy |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
UEBA Anomale Anmeldung
Beschreibung: Angreifer können die Anmeldeinformationen eines bestimmten Benutzers oder Dienstkontos mithilfe von Credential Access-Techniken stehlen oder Anmeldeinformationen früher in ihrem Reconnaissance-Prozess durch Social Engineering erfassen, um Persistenz zu erlangen.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra Von Anmeldeprotokollen Windows-Sicherheit Protokolle |
| MITRE ATT&CK-Taktiken: | Persistenz |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
| Aktivität: |
Microsoft Entra ID: Anmeldeaktivität Windows-Sicherheit: Erfolgreiche Anmeldung (Ereignis-ID 4624) |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
UEBA Anomales STS-AssumeRole-Verhalten in AwsCloudTrail
Beschreibung: Anomale Verwendung von AWS Security Token Service (STS) AssumeRole-Aktionen, insbesondere im Zusammenhang mit privilegierten Rollen oder kontoübergreifendem Zugriff. Abweichungen von der typischen Verwendung können auf eine Rechteausweitung oder Identitätsgefährdung hinweisen.
| Attribut | Wert |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Rechteausweitung, Verteidigungsumgehung |
| MITRE ATT&CK-Techniken: | T1548 – Missbrauchskontrollmechanismus, T1078 – Gültige Konten |
| Aktivität: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity AssumeRoot |
Zurück zur Liste | der UEBA-AnomalienZurück zum Anfang
Machine Learning-basierte Anomalien
Microsoft Sentinel anpassbare, machine learning-basierte Anomalien können anomales Verhalten mit Analyseregelvorlagen identifizieren, die sofort einsatzbereit sind. Anomalien weisen zwar nicht unbedingt auf schädliches oder sogar verdächtiges Verhalten selbst hin, können jedoch verwendet werden, um Erkennungen, Untersuchungen und die Bedrohungssuche zu verbessern.
- Anomale Azure-Vorgänge
- Anomale Codeausführung
- Anomale erstellung eines lokalen Kontos
- Anomale Benutzeraktivitäten in Office Exchange
- Versuchter Computer-Brute-Force
- Versuchter Benutzerkonto-Brute-Force
- Versuchter Benutzerkonto-Brute-Force pro Anmeldetyp
- Versuchter Benutzerkonto-Brute-Force pro Fehlerursache
- Erkennen des vom Computer generierten Netzwerkbeaconsverhaltens
- Domänengenerierungsalgorithmus (DGA) für DNS-Domänen
- Übermäßige Downloads über Palo Alto GlobalProtect
- Übermäßige Uploads über Palo Alto GlobalProtect
- Potenzieller Domänengenerierungsalgorithmus (DGA) für DNS-Domänen der nächsten Ebene
- Verdächtiges Volumen von AWS-API-Aufrufen von Nicht-AWS-Quell-IP-Adressen
- Verdächtiges Volumen von AWS-Schreib-API-Aufrufen aus einem Benutzerkonto
- Verdächtige Anzahl von Anmeldungen beim Computer
- Verdächtige Anzahl von Anmeldungen beim Computer mit erhöhten Token
- Verdächtige Anzahl von Anmeldungen beim Benutzerkonto
- Verdächtige Anzahl von Anmeldungen beim Benutzerkonto nach Anmeldetypen
- Verdächtige Anzahl von Anmeldungen beim Benutzerkonto mit erhöhten Token
Anomale Azure-Vorgänge
Beschreibung: Dieser Erkennungsalgorithmus sammelt Daten im Wert von 21 Tagen für Azure Vorgänge, die nach Benutzer gruppiert sind, um dieses ML-Modell zu trainieren. Der Algorithmus generiert dann Anomalien bei Benutzern, die Sequenzen von Vorgängen ausgeführt haben, die in ihren Arbeitsbereichen ungewöhnlich sind. Das trainierte ML-Modell bewertet die vom Benutzer ausgeführten Vorgänge und berücksichtigt anomale Vorgänge, deren Bewertung über dem definierten Schwellenwert liegt.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Azure-Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1190 – Exploit Public-Facing Anwendung |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Anomale Codeausführung
Beschreibung: Angreifer können Befehls- und Skriptinterpreter missbrauchen, um Befehle, Skripts oder Binärdateien auszuführen. Diese Schnittstellen und Sprachen bieten Möglichkeiten der Interaktion mit Computersystemen und sind ein gemeinsames Feature auf vielen verschiedenen Plattformen.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Azure-Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Ausführung |
| MITRE ATT&CK-Techniken: | T1059 – Befehls- und Skriptinterpreter |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Anomale erstellung eines lokalen Kontos
Beschreibung: Dieser Algorithmus erkennt anomale lokale Kontoerstellung auf Windows-Systemen. Angreifer können lokale Konten erstellen, um den Zugriff auf Zielsysteme aufrechtzuerhalten. Dieser Algorithmus analysiert die Lokale Kontoerstellungsaktivität in den vorherigen 14 Tagen von Benutzern. Es sucht nach ähnlichen Aktivitäten am aktuellen Tag von Benutzern, die zuvor nicht in historischen Aktivitäten gesehen wurden. Sie können eine Positivliste angeben, um bekannte Benutzer zu filtern, die diese Anomalie auslösen.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheit Protokolle |
| MITRE ATT&CK-Taktiken: | Persistenz |
| MITRE ATT&CK-Techniken: | T1136 – Konto erstellen |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Anomale Benutzeraktivitäten in Office Exchange
Beschreibung: Dieses Machine Learning-Modell gruppiert die Office Exchange-Protokolle pro Benutzer in stündliche Buckets. Wir definieren eine Stunde als Sitzung. Das Modell wird in den letzten 7 Tagen des Verhaltens für alle regulären Benutzer (ohne Administratorrechte) trainiert. Es gibt anomale Office Exchange-Benutzersitzungen am letzten Tag an.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Office-Aktivitätsprotokoll (Exchange) |
| MITRE ATT&CK-Taktiken: | Persistenz Auflistung |
| MITRE ATT&CK-Techniken: |
Auflistung: T1114 – Email-Sammlung T1213 – Daten aus Informationsrepositorys Persistenz: T1098 – Kontobearbeitung T1136 – Konto erstellen T1137 – Office-Anwendungsstart T1505 – Serversoftwarekomponente |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Versuchter Computer-Brute-Force
Beschreibung: Dieser Algorithmus erkennt eine ungewöhnlich hohe Anzahl von fehlgeschlagenen Anmeldeversuchen (Sicherheitsereignis-ID 4625) pro Computer am letzten Tag. Das Modell wird in den letzten 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheit Protokolle |
| MITRE ATT&CK-Taktiken: | Zugriff auf Anmeldeinformationen |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Versuchter Benutzerkonto-Brute-Force
Beschreibung: Dieser Algorithmus erkennt eine ungewöhnlich hohe Anzahl von fehlgeschlagenen Anmeldeversuchen (Sicherheitsereignis-ID 4625) pro Benutzerkonto am letzten Tag. Das Modell wird in den letzten 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheit Protokolle |
| MITRE ATT&CK-Taktiken: | Zugriff auf Anmeldeinformationen |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Versuchter Benutzerkonto-Brute-Force pro Anmeldetyp
Beschreibung: Dieser Algorithmus erkennt eine ungewöhnlich hohe Anzahl von fehlgeschlagenen Anmeldeversuchen (Sicherheitsereignis-ID 4625) pro Benutzerkonto pro Anmeldetyp am letzten Tag. Das Modell wird in den letzten 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheit Protokolle |
| MITRE ATT&CK-Taktiken: | Zugriff auf Anmeldeinformationen |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Versuchter Benutzerkonto-Brute-Force pro Fehlerursache
Beschreibung: Dieser Algorithmus erkennt eine ungewöhnlich hohe Anzahl von fehlgeschlagenen Anmeldeversuchen (Sicherheitsereignis-ID 4625) pro Benutzerkonto pro Fehlerursache am letzten Tag. Das Modell wird in den letzten 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheit Protokolle |
| MITRE ATT&CK-Taktiken: | Zugriff auf Anmeldeinformationen |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Erkennen des vom Computer generierten Netzwerkbeaconsverhaltens
Beschreibung: Dieser Algorithmus identifiziert Beaconingmuster aus Verbindungsprotokollen für Netzwerkdatenverkehr basierend auf wiederkehrenden Zeitdeltamustern. Jede Netzwerkverbindung zu nicht vertrauenswürdigen öffentlichen Netzwerken mit sich wiederholenden Zeitdelta ist ein Hinweis auf Malware-Rückrufe oder Datenexfiltrationsversuche. Der Algorithmus berechnet das Zeitdelta zwischen aufeinanderfolgenden Netzwerkverbindungen zwischen der gleichen Quell-IP-Adresse und der Ziel-IP sowie die Anzahl der Verbindungen in einer Zeit-Delta-Sequenz zwischen denselben Quellen und Zielen. Der Prozentsatz des Beaconings wird als die Verbindungen in der Zeitdeltasequenz mit der Gesamtzahl der Verbindungen an einem Tag berechnet.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | CommonSecurityLog (PAN) |
| MITRE ATT&CK-Taktiken: | Befehl und Steuerung |
| MITRE ATT&CK-Techniken: | T1071 – Application Layer Protocol T1132 – Datencodierung T1001 – Datenverschleierung T1568 – Dynamische Auflösung T1573 – Verschlüsselter Kanal T1008 – Fallbackkanäle T1104 – Mehrstufige Kanäle T1095 – Nicht-Anwendungsschichtprotokoll T1571 – Nicht Standard Port T1572 – Protokolltunneling T1090 – Proxy T1205 - Verkehrssignalisierung T1102 – Webdienst |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Domänengenerierungsalgorithmus (DGA) für DNS-Domänen
Beschreibung: Dieses Machine Learning-Modell gibt potenzielle DGA-Domänen vom letzten Tag in den DNS-Protokollen an. Der Algorithmus gilt für DNS-Einträge, die in IPv4- und IPv6-Adressen aufgelöst werden.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | DNS-Ereignisse |
| MITRE ATT&CK-Taktiken: | Befehl und Steuerung |
| MITRE ATT&CK-Techniken: | T1568 – Dynamische Auflösung |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Übermäßige Downloads über Palo Alto GlobalProtect
Beschreibung: Dieser Algorithmus erkennt ungewöhnlich viele Downloads pro Benutzerkonto über die Palo Alto VPN-Lösung. Das Modell wird in den letzten 14 Tagen der VPN-Protokolle trainiert. Dies deutet auf anomale hohe Anzahl von Downloads am letzten Tag hin.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | CommonSecurityLog (PAN-VPN) |
| MITRE ATT&CK-Taktiken: | Exfiltration |
| MITRE ATT&CK-Techniken: | T1030 – Größenbeschränkungen für Datenübertragungen T1041 – Exfiltration über C2-Kanal T1011 – Exfiltration über ein anderes Netzwerkmedium T1567 – Exfiltration über Webdienst T1029 – Geplante Übertragung T1537 – Übertragen von Daten in ein Cloudkonto |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Übermäßige Uploads über Palo Alto GlobalProtect
Beschreibung: Dieser Algorithmus erkennt ungewöhnlich viele Uploads pro Benutzerkonto über die Palo Alto VPN-Lösung. Das Modell wird in den letzten 14 Tagen der VPN-Protokolle trainiert. Dies deutet auf anomale hohe Uploadvolumen am letzten Tag hin.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | CommonSecurityLog (PAN-VPN) |
| MITRE ATT&CK-Taktiken: | Exfiltration |
| MITRE ATT&CK-Techniken: | T1030 – Größenbeschränkungen für Datenübertragungen T1041 – Exfiltration über C2-Kanal T1011 – Exfiltration über ein anderes Netzwerkmedium T1567 – Exfiltration über Webdienst T1029 – Geplante Übertragung T1537 – Übertragen von Daten in ein Cloudkonto |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Potenzieller Domänengenerierungsalgorithmus (DGA) für DNS-Domänen der nächsten Ebene
Beschreibung: Dieses Machine Learning-Modell gibt die Domänen der nächsten Ebene (dritte Ebene und höher) der Domänennamen vom letzten Tag der DNS-Protokolle an, die ungewöhnlich sind. Sie können möglicherweise die Ausgabe eines Domänengenerierungsalgorithmus (DGA) sein. Die Anomalie gilt für die DNS-Einträge, die in IPv4- und IPv6-Adressen aufgelöst werden.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | DNS-Ereignisse |
| MITRE ATT&CK-Taktiken: | Befehl und Steuerung |
| MITRE ATT&CK-Techniken: | T1568 – Dynamische Auflösung |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Verdächtiges Volumen von AWS-API-Aufrufen von Nicht-AWS-Quell-IP-Adressen
Beschreibung: Dieser Algorithmus erkennt eine ungewöhnlich hohe Anzahl von AWS-API-Aufrufen pro Benutzerkonto und Arbeitsbereich von Quell-IP-Adressen außerhalb der QUELL-IP-Adressbereiche von AWS innerhalb des letzten Tages. Das Modell wird in den letzten 21 Tagen von AWS CloudTrail-Protokollereignissen nach Quell-IP-Adresse trainiert. Diese Aktivität kann darauf hindeuten, dass das Benutzerkonto kompromittiert ist.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Verdächtiges Volumen von AWS-Schreib-API-Aufrufen aus einem Benutzerkonto
Beschreibung: Dieser Algorithmus erkennt eine ungewöhnlich hohe Anzahl von AWS-Schreib-API-Aufrufen pro Benutzerkonto innerhalb des letzten Tages. Das Modell wird in den letzten 21 Tagen von AWS CloudTrail-Protokollereignissen nach Benutzerkonto trainiert. Diese Aktivität kann darauf hindeuten, dass das Konto kompromittiert wurde.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Verdächtige Anzahl von Anmeldungen beim Computer
Beschreibung: Dieser Algorithmus erkennt eine ungewöhnlich hohe Anzahl erfolgreicher Anmeldungen (Sicherheitsereignis-ID 4624) pro Computer am letzten Tag. Das Modell wird an den letzten 21 Tagen Windows-Sicherheit Ereignisprotokollen trainiert.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheit Protokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Verdächtige Anzahl von Anmeldungen beim Computer mit erhöhten Token
Beschreibung: Dieser Algorithmus erkennt eine ungewöhnlich hohe Anzahl erfolgreicher Anmeldungen (Sicherheitsereignis-ID 4624) mit Administratorrechten pro Computer am letzten Tag. Das Modell wird an den letzten 21 Tagen Windows-Sicherheit Ereignisprotokollen trainiert.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheit Protokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Verdächtige Anzahl von Anmeldungen beim Benutzerkonto
Beschreibung: Dieser Algorithmus erkennt eine ungewöhnlich hohe Anzahl erfolgreicher Anmeldungen (Sicherheitsereignis-ID 4624) pro Benutzerkonto am letzten Tag. Das Modell wird an den letzten 21 Tagen Windows-Sicherheit Ereignisprotokollen trainiert.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheit Protokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Verdächtige Anzahl von Anmeldungen beim Benutzerkonto nach Anmeldetypen
Beschreibung: Dieser Algorithmus erkennt eine ungewöhnlich hohe Anzahl erfolgreicher Anmeldungen (Sicherheitsereignis-ID 4624) pro Benutzerkonto durch verschiedene Anmeldetypen am letzten Tag. Das Modell wird an den letzten 21 Tagen Windows-Sicherheit Ereignisprotokollen trainiert.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheit Protokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Verdächtige Anzahl von Anmeldungen beim Benutzerkonto mit erhöhten Token
Beschreibung: Dieser Algorithmus erkennt eine ungewöhnlich hohe Anzahl erfolgreicher Anmeldungen (Sicherheitsereignis-ID 4624) mit Administratorrechten pro Benutzerkonto am letzten Tag. Das Modell wird an den letzten 21 Tagen Windows-Sicherheit Ereignisprotokollen trainiert.
| Attribut | Wert |
|---|---|
| Anomalietyp: | Anpassbares maschinelles Lernen |
| Datenquellen: | Windows-Sicherheit Protokolle |
| MITRE ATT&CK-Taktiken: | Erstzugriff |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Zurück zur Liste | der auf Machine Learning basierenden AnomalienZurück zum Anfang
Nächste Schritte
- Erfahren Sie mehr über durch maschinelles Lernen generierte Anomalien in Microsoft Sentinel.
- Erfahren Sie, wie Sie mit Anomalieregeln arbeiten.
- Untersuchen Sie Vorfälle mit Microsoft Sentinel.