Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoft Sentinel havaitsee poikkeamia analysoimalla käyttäjien käyttäytymistä ympäristössä tietyllä ajanjaksolla ja luomalla laillisen toiminnan perustason. Kun perusaikataulu on määritetty, kaikkia normaalien parametrien ulkopuolisia toimintoja pidetään poikkeavina ja siksi epäilyttävinä.
Microsoft Sentinel käyttää kahta mallia perusaikataulujen luomiseen ja poikkeamien havaitsemiseen.
Tässä artikkelissa luetellaan poikkeamat, joita Microsoft Sentinel havaitsee erilaisten koneoppimismallien avulla.
- Sarake
rulenameilmaisee säännön, Sentinel käytetään kunkin poikkeaman tunnistamiseen. - Sarake
scoresisältää numeerisen arvon väliltä 0-1, joka määrittää odotetun toiminnan poikkeaman asteen. Korkeammat pisteet ilmaisevat suurempaa poikkeamaa perustasosta ja ovat todennäköisemmin todellisia poikkeamia. Pienemmät pisteet saattavat silti olla poikkeavia, mutta ne eivät ole yhtä todennäköisesti merkittäviä tai toteutettavissa.
Huomautus
Nämä poikkeamien tunnistaminen lopetetaan 8.3.2026 alkaen tulosten heikon laadun vuoksi:
- Toimialueen luontialgoritmi (DGA) DNS-toimialueissa
- Mahdollinen toimialueen luontialgoritmi (DGA) seuraavan tason DNS-toimialueilla
Vertaa UEBA:ta ja koneoppimiseen perustuvia poikkeamia
UEBA ja koneoppimiseen perustuvat poikkeamat ovat täydentäviä lähestymistapoja poikkeamien tunnistamiseen. Molemmat täyttävät taulukon, Anomalies mutta palvelevat eri tarkoituksia:
| Näkökohta | UEBA-poikkeamat | Koneoppimisen poikkeamien tunnistussäännöt |
|---|---|---|
| Keskittyä | Joka käyttäytyy epätavallisesti | Mikä toiminta on epätavallista |
| Tunnistamismenetelmä | Entiteettikeskeiset käyttäytymisen perustasot verrattuna historialliseen toimintaan, vertaistoimintaan ja koko organisaation laajuisiin malleihin | Mukautettavia sääntömalleja, joissa käytetään tilastollisia ja koneoppimismalleja, jotka on harjoitettu tiettyihin tietomalleihin |
| Perusaikataulun lähde | Kunkin entiteetin oma historia, vertaisryhmä ja organisaatio | Koulutusjakso (yleensä 7–21 päivää) tietyissä tapahtumatyypeissä |
| Mukauttaminen | Otettu käyttöön tai poistettu käytöstä UEBA-asetusten avulla | Säädettävät raja-arvot ja parametrit analytiikkasäännön käyttöliittymän avulla |
| Esimerkkejä | Poikkeava sisäänkirjautuminen, poikkeavan tilin luominen, poikkeamien oikeuksien muokkaaminen | Yritetty raakaa voimaa, liiallisia latauksia, verkkojäljitys |
Lisätietoja on seuraavissa artikkeleissa:
UEBA-poikkeamat
Sentinel UEBA havaitsee poikkeamia eri tietosyötteiden kullekin entiteetille luotujen dynaamisten perusaikataulujen perusteella. Kunkin entiteetin perustoiminta määritetään sen omien historiallisten toimintojen, sen vertaistoimintojen ja koko organisaation toiminnan mukaan. Poikkeamia voidaan käynnistää korreloimalla eri määritteitä, kuten toimintotyyppi, sijaintipaikka, laite, resurssi, Internet-palveluntarjoaja ja paljon muuta.
Sinun on otettava UEBA ja poikkeamien tunnistaminen käyttöön Sentinel työtilassasi UEBA-poikkeamien havaitsemiseksi.
UEBA havaitsee poikkeamia näiden poikkeamien sääntöjen perusteella:
- UEBA-poikkeamien tilien käytön poistaminen
- UEBA Poikkeamien tilien luominen
- UEBA Poikkeamatilin poistaminen
- UEBA Poikkeaman tilin käsittely
- UEBA Poikkeamatoiminta GCP-valvontalokeissa
- UEBA Anomalous Activity in Okta_CL
- UEBA Poikkeamatodentaminen
- UEBA Poikkeamakoodin suorittaminen
- UEBA Poikkeamien tietojen tuhoaminen
- UEBA Anomalous Data Transfer Amazon S3:sta
- UEBA Poikkeaman puolustusmekanismin muokkaaminen
- UEBA Anomalous Epäonnistui sisäänkirjautuminen
- UEBA Anomalous Federated tai SAML Identity Activity in AwsCloudTrail
- UEBA Anomalous IAM Privilege Modification in AwsCloudTrail
- UEBA Anomalous -kirjautuminen AwsCloudTrailissa
- UEBA Anomalous MFA Failures in Okta_CL
- UEBA-poikkeama salasanan palauttamisesta
- UEBA Poikkeamaoikeus myönnetty
- UEBA Anomalous Secret tai KMS Key Access in AwsCloudTrail
- UEBA Poikkeamakirjautuminen
- UEBA Anomalous STS AssumeRole Käyttäytyminen AwsCloudTrailissa
Sentinel käyttää BehaviorAnalytics-taulukon täydennettyjä tietoja tunnistaakseen UEBA-poikkeamat vuokraajaasi ja lähdettäsi koskevat luotettavuuspisteet.
UEBA-poikkeamien tilien käytön poistaminen
Kuvaus: Hyökkääjä voi keskeyttää järjestelmä- ja verkkoresurssien käytettävyyden estämällä käyttöoikeuksia laillisien käyttäjien käyttämille tileille. Hyökkääjä saattaa poistaa, lukita tai käsitellä tiliä (esimerkiksi muuttamalla sen tunnistetietoja) sen käytön poistamiseksi.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | Azure toimintolokit |
| MITRE ATT&CK-taktiikka: | Vaikutus |
| MITRE ATT&CK-tekniikat: | T1531 – Tilin käyttöoikeuksien poistaminen |
| Toimintaa: | Microsoft.Authorization/roleAssignments/delete Kirjaudu ulos |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA Poikkeamien tilien luominen
Kuvaus: Vastustajat voivat luoda tilin kohdennettujen järjestelmien käytön ylläpitämiseksi. Riittävä käyttöoikeustaso edellyttää, että tällaisten tilien avulla muodostetaan toissijainen tunnistetietojen käyttö ilman, että järjestelmässä on otettava käyttöön pysyviä etäkäyttötyökaluja.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | valvontalokien Microsoft Entra |
| MITRE ATT&CK-taktiikka: | Pysyvyys |
| MITRE ATT&CK-tekniikat: | T1136 – Luo tili |
| MITRE ATT&CK-alitekniikat: | Pilvipalvelutili |
| Toimintaa: | Ydinhakemisto/UserManagement/Lisää käyttäjä |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA Poikkeamatilin poistaminen
Kuvaus: Vastustajat voivat keskeyttää järjestelmä- ja verkkoresurssien käytettävyyden estämällä käyttöoikeuksia laillisille käyttäjille. Tilejä voidaan poistaa, lukita tai käsitellä (esimerkiksi muutettuja tunnistetietoja) tilien käytön poistamiseksi.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | valvontalokien Microsoft Entra |
| MITRE ATT&CK-taktiikka: | Vaikutus |
| MITRE ATT&CK-tekniikat: | T1531 – Tilin käyttöoikeuksien poistaminen |
| Toimintaa: | Ydinhakemisto/KäyttäjäHallinta/Poista käyttäjä Ydinhakemiston, laitteen tai poiston käyttäjä Ydinhakemisto/KäyttäjäHallinta/Poista käyttäjä |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA Poikkeaman tilin käsittely
Kuvaus: Vastustajat voivat käsitellä tilejä kohdejärjestelmien käytön ylläpitämiseksi. Näihin toimintoihin kuuluu uusien tilien lisääminen suurietuisiin ryhmiin. Esimerkiksi Dragonfly 2.0 lisäsi juuri luodut tilit järjestelmänvalvojien ryhmään laajennetun käytön ylläpitämiseksi. Alla oleva kysely luo tulosteen kaikista suuren räjähdyksen säteen käyttäjistä, jotka suorittavat "Päivitä käyttäjä" (nimen muutos) etuoikeutettuun rooliin, tai käyttäjistä, jotka muuttivat käyttäjiä ensimmäistä kertaa.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | valvontalokien Microsoft Entra |
| MITRE ATT&CK-taktiikka: | Pysyvyys |
| MITRE ATT&CK-tekniikat: | T1098 – Tilin käsittely |
| Toimintaa: | Ydinhakemisto/Käyttäjähallinta/Päivitä käyttäjä |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA Poikkeamatoiminta GCP-valvontalokeissa
Kuvaus: Google Cloud Platform (GCP) -resurssien käyttöyritykset epäonnistuivat GCP-valvontalokien IAM:iin liittyvien merkintöjen perusteella. Nämä virheet saattavat johtua virheellisesti määritetyistä käyttöoikeuksista, yrityksistä käyttää luvattomia palveluita tai aikaisen vaiheen hyökkääjän käyttäytymisestä, kuten oikeuksien tutkimisesta tai pysyvyydestä palvelutilien kautta.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | GCP-valvontalokit |
| MITRE ATT&CK-taktiikka: | Discovery |
| MITRE ATT&CK-tekniikat: | T1087 – Tilin etsiminen, T1069 – Käyttöoikeusryhmien etsiminen |
| Toimintaa: | iam.googleapis.com |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA Anomalous Activity in Okta_CL
Kuvaus: Oktassa on odottamattomia todennustoimintoja tai suojaukseen liittyviä määritysmuutoksia, kuten kirjautumissääntöjen muutoksia, monimenetelmäisen todentamisen (MFA) pakottamista tai järjestelmänvalvojan oikeuksia. Tällainen toiminta voi tarkoittaa yrityksiä muuttaa käyttäjätietojen suojauksen ohjausobjekteja tai ylläpitää käyttöoikeuksia etuoikeutettujen muutosten kautta.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | Okta-pilvilokit |
| MITRE ATT&CK-taktiikka: | Pysyvyys, oikeuksien eskalointi |
| MITRE ATT&CK-tekniikat: | T1098 – Tilin käsittely, T1556 - todennusprosessin muokkaaminen |
| Toimintaa: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA Poikkeamatodentaminen
Kuvaus: Epätavallinen todennustoiminta Microsoft Defender for Endpoint ja Microsoft Entra ID signaaleissa, mukaan lukien laitteen kirjautumiset, hallitut käyttäjätietojen kirjautumiset ja palvelun päänimen todennukset Microsoft Entra ID. Nämä poikkeamat voivat viitata tunnistetietojen väärinkäyttöön, ei-ihmisten identiteetin väärinkäyttöön tai sivuttaisten siirtoyritysten yrityksiin tyypillisten käyttömallien ulkopuolella.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | Microsoft Defender for Endpoint, Microsoft Entra ID |
| MITRE ATT&CK-taktiikka: | Alkukäyttö |
| MITRE ATT&CK-tekniikat: | T1078 - Kelvolliset tilit |
| Toimintaa: |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA Poikkeamakoodin suorittaminen
Kuvaus: Vastustajat saattavat käyttää komento- ja komentosarjatulkkeja väärin komentojen, komentosarjojen tai binaaritiedostojen suorittamiseen. Nämä käyttöliittymät ja kielet tarjoavat tapoja olla vuorovaikutuksessa tietokonejärjestelmien kanssa, ja ne ovat yleinen ominaisuus monissa eri ympäristöissä.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | Azure toimintolokit |
| MITRE ATT&CK-taktiikka: | Etäsuorittamisen |
| MITRE ATT&CK-tekniikat: | T1059 – Tulkki ja komentosarjat |
| MITRE ATT&CK-alitekniikat: | PowerShell |
| Toimintaa: | Microsoft.Compute/virtualMachines/runCommand/action |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA Poikkeamien tietojen tuhoaminen
Kuvaus: Vastustajat voivat tuhota tietoja ja tiedostoja tietyissä järjestelmissä tai suurin joukoin verkossa keskeyttääkseen järjestelmien, palvelujen ja verkkoresurssien saatavuuden. Tietojen tuhoaminen todennäköisesti tekee tallennetuista tiedoista peruuttamattomia rikosteknisillä tekniikoilla korvaamalla tiedostoja tai tietoja paikallisissa ja etäasemista.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | Azure toimintolokit |
| MITRE ATT&CK-taktiikka: | Vaikutus |
| MITRE ATT&CK-tekniikat: | T1485 – Tietojen tuhoaminen |
| Toimintaa: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA Anomalous Data Transfer Amazon S3:sta
Kuvaus: Poikkeamat tietojen käytössä tai latausmalleissa Amazon Simple Storage Servicestä (S3). Poikkeama määritetään käyttämällä kunkin käyttäjän, palvelun ja resurssin käyttäytymisen perustasoja vertaamalla tiedonsiirron määrää, tiheyttä ja käytettyjen objektien määrää historiallisiin normeihin. Merkittävät poikkeamat , kuten ensimmäistä kertaa joukkokäyttö, epätavallisen suuret tietojen noutaminen tai toiminta uusista sijainneista tai sovelluksista, saattavat viitata tietojen mahdolliseen suodattimeen, käytäntörikkomuksiin tai vaarantuneiden tunnistetietojen väärinkäyttöön.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | AWS CloudTrail -lokit |
| MITRE ATT&CK-taktiikka: | Suodatus |
| MITRE ATT&CK-tekniikat: | T1567 – Exfiltration Over Web Service |
| Toimintaa: | PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA Poikkeaman puolustusmekanismin muokkaaminen
Kuvaus: Vastustajat voivat poistaa suojaustyökalut käytöstä välttääkseen työkalujensa ja toimintojensa mahdollisen havaitsemisen.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | Azure toimintolokit |
| MITRE ATT&CK-taktiikka: | Puolustuksen välttely |
| MITRE ATT&CK-tekniikat: | T1562 – Impair Defenses |
| MITRE ATT&CK-alitekniikat: | Työkalujen poistaminen käytöstä tai muokkaaminen Poista pilvipalvelun palomuuri käytöstä tai muokkaa sitä |
| Toimintaa: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA Anomalous Epäonnistui sisäänkirjautuminen
Kuvaus: Vastustajat, joilla ei ole ennakkotietoa järjestelmän tai ympäristön laillisista tunnistetiedoista, saattavat arvata salasanoja yrittäessään käyttää tilejä.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | Microsoft Entra kirjautumislokeista Windowsin suojaus lokit |
| MITRE ATT&CK-taktiikka: | Tunnistetietojen käyttö |
| MITRE ATT&CK-tekniikat: | T1110 - Raaka voima |
| Toimintaa: |
Microsoft Entra ID: Kirjautumistoiminta Windowsin suojaus: Kirjautuminen epäonnistui (tapahtuman tunnus 4625) |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA Anomalous Federated tai SAML Identity Activity in AwsCloudTrail
Kuvaus: Federated- tai Security Assertion Markup Language (SAML) -pohjaisten käyttäjätietojen epätavallinen toiminta, johon liittyy ensikertalaistoimintoja, tuntemattomia maantieteellisiä sijainteja tai liiallisia ohjelmointirajapintakutsuja. Tällaiset poikkeamat voivat tarkoittaa istunnon kaappausta tai liitettyjen tunnistetietojen väärinkäyttöä.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | AWS CloudTrail -lokit |
| MITRE ATT&CK-taktiikka: | Alkuperäinen käyttö, pysyvyys |
| MITRE ATT&CK-tekniikat: | T1078 - Kelvolliset tilit, T1550 - Käytä vaihtoehtoista todennusmateriaalia |
| Toimintaa: | UserAuthentication (EXTERNAL_IDP) |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA Anomalous IAM Privilege Modification in AwsCloudTrail
Kuvaus: Käyttäjätietojen ja käyttöoikeuksien hallinnan (IAM) järjestelmänvalvojan toiminnan poikkeamat, kuten roolien, käyttäjien ja ryhmien ensikertalainen luominen, muokkaaminen tai poistaminen tai uusien sidotun tai hallitun käytännön liite. Nämä voivat tarkoittaa oikeuksien eskalointia tai käytännön väärinkäyttöä.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | AWS CloudTrail -lokit |
| MITRE ATT&CK-taktiikka: | Oikeuksien eskalointi, pysyvyys |
| MITRE ATT&CK-tekniikat: | T1136 - Luo tili, T1098 - Tilin käsittely |
| Toimintaa: | iam.amazonaws.com, sso-directory.amazonaws.com luonti-, lisäys-, liittämis-, poisto-, aktivointi-, sijoita- ja päivitystoiminnot |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA Anomalous -kirjautuminen AwsCloudTrailissa
Kuvaus: Epätavallinen kirjautumistoiminta Amazon Web Services (AWS) -palveluissa CloudTrail-tapahtumien, kuten ConsoleLoginin ja muiden todennukseen liittyvien määritteiden, perusteella. Poikkeamat määräytyvät käyttäjän toiminnan poikkeamien perusteella määritteiden, kuten maantieteellisen sijainnin, laitteen sormenjäljen, IsP:n ja käyttöoikeusmenetelmän perusteella, ja ne saattavat ilmaista luvattoman käytön yrityksiä tai mahdollisia käytäntörikkomuksia.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | AWS CloudTrail -lokit |
| MITRE ATT&CK-taktiikka: | Alkukäyttö |
| MITRE ATT&CK-tekniikat: | T1078 - Kelvolliset tilit |
| Toimintaa: | ConsoleLogin |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA Anomalous MFA Failures in Okta_CL
Kuvaus: Oktan epäonnistuneiden MFA-yritysten epätavalliset mallit. Nämä poikkeamat voivat johtua tilin väärinkäytöstä, tunnistetietojen täyttämisestä tai luotettujen laitemekanismien virheellisestä käytöstä, ja ne heijastavat usein alkuvaiheen vastustajien toimintaa, kuten varastettujen tunnistetietojen testaamista tai käyttäjätietojen suojauksen tutkimista.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | Okta-pilvilokit |
| MITRE ATT&CK-taktiikka: | Pysyvyys, oikeuksien eskalointi |
| MITRE ATT&CK-tekniikat: | T1078 - Kelvolliset tilit, T1556 - muokkaa todennusprosessia |
| Toimintaa: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA-poikkeama salasanan palauttamisesta
Kuvaus: Vastustajat voivat keskeyttää järjestelmä- ja verkkoresurssien käytettävyyden estämällä käyttöoikeuksia laillisille käyttäjille. Tilejä voidaan poistaa, lukita tai käsitellä (esimerkiksi muutettuja tunnistetietoja) tilien käytön poistamiseksi.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | valvontalokien Microsoft Entra |
| MITRE ATT&CK-taktiikka: | Vaikutus |
| MITRE ATT&CK-tekniikat: | T1531 – Tilin käyttöoikeuksien poistaminen |
| Toimintaa: | Ydinhakemisto/ UserManagement/Käyttäjän salasanan vaihtaminen |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA Poikkeamaoikeus myönnetty
Kuvaus: Vastustajat voivat lisätä vastustajien ohjaamia tunnistetietoja Azure palvelun päänimille olemassa olevien laillisten tunnistetietojen lisäksi, jotta pysyvät käyttöoikeudet uhrien Azure tileihin.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | valvontalokien Microsoft Entra |
| MITRE ATT&CK-taktiikka: | Pysyvyys |
| MITRE ATT&CK-tekniikat: | T1098 – Tilin käsittely |
| MITRE ATT&CK-alitekniikat: | Palvelun päänimen muut Azure tunnistetiedot |
| Toimintaa: | Tilin valmistelu, sovellusten hallinta/Sovelluksen roolimäärityksen lisääminen palvelun päänimeen |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA Anomalous Secret tai KMS Key Access in AwsCloudTrail
Kuvaus: Epäilyttävä käyttöoikeus AWS Secrets Manageriin tai avaintenhallintapalvelun (KMS) resursseihin. Ensimmäinen käyttökerta tai epätavallisen suuri käyttötiheys voi tarkoittaa tunnistetietojen keräämistä tai tietojen suodatusyrityksiä.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | AWS CloudTrail -lokit |
| MITRE ATT&CK-taktiikka: | Tunnistetietojen käyttö, kokoelma |
| MITRE ATT&CK-tekniikat: | T1555 - Salasanasäilöjen tunnistetiedot |
| Toimintaa: | GetSecretValue BatchGetSecretValue Luettelon näppäimet ListSecrets PutSecretValue Luosecret UpdateSecret DeleteSecret Luo avain PutKeyPolicy |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA Poikkeamakirjautuminen
Kuvaus: Vastustajat voivat varastaa tietyn käyttäjän tai palvelutilin tunnistetiedot tunnistetietojen käyttötekniikoilla tai siepata tunnistetiedot aiemmin tiedusteluprosessissaan sosiaalisen suunnittelun avulla sinnikkyyden saamiseksi.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | Microsoft Entra kirjautumislokeista Windowsin suojaus lokit |
| MITRE ATT&CK-taktiikka: | Pysyvyys |
| MITRE ATT&CK-tekniikat: | T1078 - Kelvolliset tilit |
| Toimintaa: |
Microsoft Entra ID: Kirjautumistoiminta Windowsin suojaus: Kirjautuminen onnistui (tapahtuman tunnus 4624) |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
UEBA Anomalous STS AssumeRole Käyttäytyminen AwsCloudTrailissa
Kuvaus: AWS:n suojaustunnuspalvelun (STS) AssumeRole-toimintojen poikkeava käyttö, erityisesti etuoikeutettujen roolien tai tilien välisen käytön osalta. Poikkeamat tyypillisestä käytöstä saattavat tarkoittaa oikeuksien eskalointia tai käyttäjätietojen vaarantumista.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | UEBA |
| Tietolähteet: | AWS CloudTrail -lokit |
| MITRE ATT&CK-taktiikka: | Oikeuksien eskalointi, puolustuksen välttely |
| MITRE ATT&CK-tekniikat: | T1548 - Väärinkäytön korotuksen valvontamekanismi, T1078 - Kelvolliset tilit |
| Toimintaa: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity Oleta juuri |
Palaa UEBA-poikkeamien luetteloon | Takaisin alkuun
Koneoppimiseen perustuvat poikkeamat
Microsoft Sentinel mukautettavissa olevat koneoppimiseen perustuvat poikkeavuudet voivat tunnistaa poikkeavan toiminnan analytiikkasääntömalleissa, jotka voidaan sijoittaa heti ruutuun. Vaikka poikkeavuudet eivät välttämättä osoita pahantahtoista tai edes epäilyttävää käyttäytymistä yksinään, niitä voidaan käyttää havaitsemisten, tutkimusten ja uhkien metsästyksen parantamiseen.
- Poikkeavat Azure toiminnot
- Poikkeava koodin suorittaminen
- Poikkeavia paikallisia tilien luontia
- Poikkeavat käyttäjätoiminnot Office Exchangessa
- Yritettiin tietokoneen raakaa voimaa
- Yritettiin käyttäjätilin raakaa voimaa
- Yritettiin käyttäjätilin raakaa voimaa kirjautumistyyppiä kohti
- Yritettiin käyttäjätilin raakaa voimaa virheen syyn mukaan
- Tunnista koneen luoman verkon majakkatoiminta
- Toimialueen luontialgoritmi (DGA) DNS-toimialueissa
- Liialliset lataukset Palo Alto GlobalProtectin kautta
- Liian suuret lataukset Palo Alto GlobalProtectin kautta
- Mahdollinen toimialueen luontialgoritmi (DGA) seuraavan tason DNS-toimialueilla
- Epäilyttävä määrä AWS-ohjelmointirajapintakutsuja ei-AWS-lähde-IP-osoitteesta
- Epäilyttävä määrä AWS-kirjoitusten ohjelmointirajapintakutsuja käyttäjätililtä
- Epäilyttävä kirjautuminen tietokoneeseen
- Epäilyttävä kirjautumisten määrä tietokoneeseen, jossa on korostettu tunnus
- Epäilyttävä kirjautumisten määrä käyttäjätilille
- Epäilyttävä kirjautumisten määrä käyttäjätilille kirjautumistyyppien mukaan
- Epäilyttävä kirjautumisten määrä käyttäjätilille laajennetulla tunnuksilla
Poikkeavat Azure toiminnot
Kuvaus: Tämä tunnistusalgoritmi kerää 21 päivän tiedot Azure toiminnoista, jotka on ryhmitelty käyttäjän mukaan tämän koneoppimismallin harjoittamiseksi. Tämän jälkeen algoritmi luo poikkeamia niiden käyttäjien tapauksessa, jotka suorittivat epätavallisia toimintosarjoja työtiloissaan. Harjoitettu koneoppimismalli pisteyttää käyttäjän suorittamat toiminnot ja pitää poikkeavia arvoja, joiden pisteet ylittävät määritetyn raja-arvon.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | Azure toimintolokit |
| MITRE ATT&CK-taktiikka: | Alkukäyttö |
| MITRE ATT&CK-tekniikat: | T1190 – Hyödynnä Public-Facing -sovellusta |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Poikkeava koodin suorittaminen
Kuvaus: Hyökkääjät voivat käyttää komento- ja komentosarjatulkkeja komentojen, komentosarjojen tai binaaritiedostojen suorittamiseen. Nämä käyttöliittymät ja kielet tarjoavat tapoja olla vuorovaikutuksessa tietokonejärjestelmien kanssa, ja ne ovat yleinen ominaisuus monissa eri ympäristöissä.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | Azure toimintolokit |
| MITRE ATT&CK-taktiikka: | Etäsuorittamisen |
| MITRE ATT&CK-tekniikat: | T1059 – Tulkki ja komentosarjat |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Poikkeavia paikallisia tilien luontia
Kuvaus: Tämä algoritmi havaitsee poikkeavan paikallisen tilin luomisen Windows-järjestelmissä. Hyökkääjät voivat luoda paikallisia tilejä kohdejärjestelmien käytön ylläpitämiseksi. Tämä algoritmi analysoi käyttäjien paikallisten tilien luontitoimintoja viimeisten 14 päivän aikana. Se etsii vastaavaa toimintaa kuluvana päivänä käyttäjiltä, joita ei ole aiemmin nähty historiallisessa toiminnassa. Voit määrittää sallittujen luettelon, joka suodattaa tunnetut käyttäjät tämän poikkeaman käynnistämisestä.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | Windowsin suojaus lokit |
| MITRE ATT&CK-taktiikka: | Pysyvyys |
| MITRE ATT&CK-tekniikat: | T1136 – Luo tili |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Poikkeavat käyttäjätoiminnot Office Exchangessa
Kuvaus: Tämä koneoppimismalli ryhmittelee Office Exchange -lokit käyttäjäkohtaisesti tuntikohtaisiin säilöihin. Yksi tunti määritetään istunnoksi. Mallia harjoitetaan edellisten 7 päivän aikana kaikkien säännöllisten (ei järjestelmänvalvojien) käyttäjien keskuudessa. Se osoittaa, että käyttäjän Office Exchange -istunnot olivat poikkeavia viimeisen päivän aikana.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | Officen toimintaloki (Exchange) |
| MITRE ATT&CK-taktiikka: | Pysyvyys Collection |
| MITRE ATT&CK-tekniikat: |
Collection: T1114 - Sähköpostikokoelma T1213 – Tietosäilöjen tiedot Pysyvyys: T1098 – Tilin käsittely T1136 – Luo tili T1137 – Office-sovelluksen käynnistys T1505 - Palvelinohjelmiston osa |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Yritettiin tietokoneen raakaa voimaa
Kuvaus: Tämä algoritmi havaitsee epätavallisen paljon epäonnistuneita kirjautumisyrityksiä (suojaustapahtuman tunnus 4625) tietokonetta kohden viimeisen päivän aikana. Mallia harjoitetaan Windowsin tietoturvatapahtumien lokien edellisten 21 päivän aikana.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | Windowsin suojaus lokit |
| MITRE ATT&CK-taktiikka: | Tunnistetietojen käyttö |
| MITRE ATT&CK-tekniikat: | T1110 - Raaka voima |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Yritettiin käyttäjätilin raakaa voimaa
Kuvaus: Tämä algoritmi havaitsee epätavallisen suuren määrän epäonnistuneita kirjautumisyrityksiä (suojaustapahtuman tunnus 4625) käyttäjätiliä kohden viimeisen päivän aikana. Mallia harjoitetaan Windowsin tietoturvatapahtumien lokien edellisten 21 päivän aikana.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | Windowsin suojaus lokit |
| MITRE ATT&CK-taktiikka: | Tunnistetietojen käyttö |
| MITRE ATT&CK-tekniikat: | T1110 - Raaka voima |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Yritettiin käyttäjätilin raakaa voimaa kirjautumistyyppiä kohti
Kuvaus: Tämä algoritmi havaitsee epätavallisen suuren määrän epäonnistuneita kirjautumisyrityksiä (suojaustapahtuman tunnus 4625) käyttäjätiliä kohti kirjautumistyyppiä kohden viimeisen päivän aikana. Mallia harjoitetaan Windowsin tietoturvatapahtumien lokien edellisten 21 päivän aikana.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | Windowsin suojaus lokit |
| MITRE ATT&CK-taktiikka: | Tunnistetietojen käyttö |
| MITRE ATT&CK-tekniikat: | T1110 - Raaka voima |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Yritettiin käyttäjätilin raakaa voimaa virheen syyn mukaan
Kuvaus: Tämä algoritmi havaitsee epätavallisen suuren määrän epäonnistuneita kirjautumisyrityksiä (suojaustapahtuman tunnus 4625) tiliä kohti virhesyytä kohden viimeisen päivän aikana. Mallia harjoitetaan Windowsin tietoturvatapahtumien lokien edellisten 21 päivän aikana.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | Windowsin suojaus lokit |
| MITRE ATT&CK-taktiikka: | Tunnistetietojen käyttö |
| MITRE ATT&CK-tekniikat: | T1110 - Raaka voima |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Tunnista koneen luoman verkon majakkatoiminta
Kuvaus: Tämä algoritmi tunnistaa verkkoliikenteen yhteyslokien majakkamallit toistuvien aika delta-mallien perusteella. Kaikki verkkoyhteydet epäluotettaviin julkisiin verkkoihin toistuvana aikana ovat merkki haittaohjelmien takaisinkutsuista tai tietojen suodatusyrityksistä. Algoritmi laskee aika-deltan saman lähde-IP:n ja kohde-IP:n välisten peräkkäisten verkkoyhteyksien välillä sekä yhteyksien määrän aika-delta-järjestyksessä samojen lähteiden ja kohteiden välillä. Majakan jakauma prosentteina lasketaan aika-delta-sekvenssin yhteyksinä päivän kokonaisyhteyksiin nähden.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | CommonSecurityLog (PAN) |
| MITRE ATT&CK-taktiikka: | Komento ja hallinta |
| MITRE ATT&CK-tekniikat: | T1071 – Application Layer Protocol T1132 – Tietojen koodaus T1001 – Tietojen obfusaatio T1568 - Dynaaminen tarkkuus T1573 – Salattu kanava T1008 - Varakanavat T1104 - Monivaiheiset kanavat T1095 – Muu kuin sovelluskerrosprotokolla T1571 - Ei Standard portti T1572 - Protokollan tunnelointi T1090 - Välityspalvelin T1205 – Liikennemerkki T1102 – Verkkopalvelu |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Toimialueen luontialgoritmi (DGA) DNS-toimialueissa
Kuvaus: Tämä koneoppimismalli ilmaisee DNS-lokien mahdolliset DGA-toimialueet kuluneelta päivältä. Algoritmi koskee DNS-tietueita, jotka ratkaistaan IPv4- ja IPv6-osoitteisiin.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | DNS-tapahtumat |
| MITRE ATT&CK-taktiikka: | Komento ja hallinta |
| MITRE ATT&CK-tekniikat: | T1568 - Dynaaminen tarkkuus |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Liialliset lataukset Palo Alto GlobalProtectin kautta
Kuvaus: Tämä algoritmi havaitsee epätavallisen suuren latausmäärän käyttäjätiliä kohti Palo Alto VPN -ratkaisun kautta. Mallia harjoitetaan VPN-lokien edellisten 14 päivän aikana. Se osoittaa, että latausten määrä on ollut poikkeavan suuri viimeisen päivän aikana.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-taktiikka: | Suodatus |
| MITRE ATT&CK-tekniikat: | T1030 – Tiedonsiirron kokorajoitukset T1041 - Suodatus C2-kanavan yli T1011 - Exfiltration Over Other Network Medium T1567 – Exfiltration Over Web Service T1029 - Ajoitettu siirto T1537 – Tietojen siirtäminen pilvipalveluun |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Liian suuret lataukset Palo Alto GlobalProtectin kautta
Kuvaus: Tämä algoritmi havaitsee epätavallisen suuren käyttäjäkohtaisen latausmäärän Palo Alto VPN -ratkaisun kautta. Mallia harjoitetaan VPN-lokien edellisten 14 päivän aikana. Se ilmaisee poikkeavan suuren latausmäärän viimeisen päivän aikana.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-taktiikka: | Suodatus |
| MITRE ATT&CK-tekniikat: | T1030 – Tiedonsiirron kokorajoitukset T1041 - Suodatus C2-kanavan yli T1011 - Exfiltration Over Other Network Medium T1567 – Exfiltration Over Web Service T1029 - Ajoitettu siirto T1537 – Tietojen siirtäminen pilvipalveluun |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Mahdollinen toimialueen luontialgoritmi (DGA) seuraavan tason DNS-toimialueilla
Kuvaus: Tämä koneoppimismalli ilmaisee toimialuenimien seuraavan tason toimialueet (kolmas taso ja ylöspäin) epätavallisten DNS-lokien viimeisen päivän jälkeen. Ne voivat mahdollisesti olla toimialueen luontialgoritmin (DGA) tulos. Poikkeama koskee DNS-tietueita, jotka ratkaistaan IPv4- ja IPv6-osoitteisiin.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | DNS-tapahtumat |
| MITRE ATT&CK-taktiikka: | Komento ja hallinta |
| MITRE ATT&CK-tekniikat: | T1568 - Dynaaminen tarkkuus |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Epäilyttävä määrä AWS-ohjelmointirajapintakutsuja ei-AWS-lähde-IP-osoitteesta
Kuvaus: Tämä algoritmi havaitsee epätavallisen suuren määrän AWS-ohjelmointirajapintakutsuja työtilaa kohti käyttäjätiliä kohden AWS:n ip-lähdeosoitteiden ulkopuolisista lähde-IP-osoitteista viimeisen päivän aikana. Mallia harjoitetaan AWS CloudTrail -lokitapahtumien edellisten 21 päivän aikana ip-lähdeosoitteen mukaan. Tämä toiminto voi ilmaista, että käyttäjätili on vaarantunut.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | AWS CloudTrail -lokit |
| MITRE ATT&CK-taktiikka: | Alkukäyttö |
| MITRE ATT&CK-tekniikat: | T1078 - Kelvolliset tilit |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Epäilyttävä määrä AWS-kirjoitusten ohjelmointirajapintakutsuja käyttäjätililtä
Kuvaus: Tämä algoritmi havaitsee epätavallisen suuren määrän AWS-ohjelmointirajapinnan kutsuja käyttäjätiliä kohti viimeisen päivän aikana. Mallia harjoitetaan AWS CloudTrail -lokitapahtumien edellisten 21 päivän aikana käyttäjätilin mukaan. Tämä toiminto voi ilmaista, että tili on vaarantunut.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | AWS CloudTrail -lokit |
| MITRE ATT&CK-taktiikka: | Alkukäyttö |
| MITRE ATT&CK-tekniikat: | T1078 - Kelvolliset tilit |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Epäilyttävä kirjautuminen tietokoneeseen
Kuvaus: Tämä algoritmi havaitsee epätavallisen suuren määrän onnistuneita kirjautumisia (suojaustapahtuman tunnus 4624) tietokonetta kohti viimeisen päivän aikana. Mallia harjoitetaan Windowsin suojaus tapahtumalokien edellisten 21 päivän aikana.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | Windowsin suojaus lokit |
| MITRE ATT&CK-taktiikka: | Alkukäyttö |
| MITRE ATT&CK-tekniikat: | T1078 - Kelvolliset tilit |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Epäilyttävä kirjautumisten määrä tietokoneeseen, jossa on korostettu tunnus
Kuvaus: Tämä algoritmi havaitsee epätavallisen suuren määrän onnistuneita kirjautumisia (suojaustapahtuman tunnus 4624), joilla on järjestelmänvalvojan oikeudet tietokonetta kohti, viimeisen päivän aikana. Mallia harjoitetaan Windowsin suojaus tapahtumalokien edellisten 21 päivän aikana.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | Windowsin suojaus lokit |
| MITRE ATT&CK-taktiikka: | Alkukäyttö |
| MITRE ATT&CK-tekniikat: | T1078 - Kelvolliset tilit |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Epäilyttävä kirjautumisten määrä käyttäjätilille
Kuvaus: Tämä algoritmi havaitsee onnistuneen kirjautumisen (suojaustapahtumatunnus 4624) epätavallisen suuren määrän käyttäjätiliä kohden viimeisen päivän aikana. Mallia harjoitetaan Windowsin suojaus tapahtumalokien edellisten 21 päivän aikana.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | Windowsin suojaus lokit |
| MITRE ATT&CK-taktiikka: | Alkukäyttö |
| MITRE ATT&CK-tekniikat: | T1078 - Kelvolliset tilit |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Epäilyttävä kirjautumisten määrä käyttäjätilille kirjautumistyyppien mukaan
Kuvaus: Tämä algoritmi havaitsee onnistuneen kirjautumisen (suojaustapahtumatunnus 4624) epätavallisen suuren määrän käyttäjätiliä kohden eri kirjautumistyyppien mukaan viimeisen päivän aikana. Mallia harjoitetaan Windowsin suojaus tapahtumalokien edellisten 21 päivän aikana.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | Windowsin suojaus lokit |
| MITRE ATT&CK-taktiikka: | Alkukäyttö |
| MITRE ATT&CK-tekniikat: | T1078 - Kelvolliset tilit |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Epäilyttävä kirjautumisten määrä käyttäjätilille laajennetulla tunnuksilla
Kuvaus: Tämä algoritmi havaitsee epätavallisen suuren määrän onnistuneita kirjautumisia (suojaustapahtuman tunnus 4624), joilla on järjestelmänvalvojan oikeudet käyttäjätiliä kohti, viimeisen päivän aikana. Mallia harjoitetaan Windowsin suojaus tapahtumalokien edellisten 21 päivän aikana.
| Määrite | Arvo |
|---|---|
| Poikkeamatyyppi: | Mukautettavissa oleva koneoppiminen |
| Tietolähteet: | Windowsin suojaus lokit |
| MITRE ATT&CK-taktiikka: | Alkukäyttö |
| MITRE ATT&CK-tekniikat: | T1078 - Kelvolliset tilit |
Takaisin koneoppimiseen perustuvien poikkeamien luetteloon | Takaisin alkuun
Seuraavat vaiheet
- Lue lisätietoja koneoppimisen luomista poikkeamista Microsoft Sentinel.
- Opi käyttämään poikkeamasääntöjä.
- Tutki tapaukset, joissa on Microsoft Sentinel.