Anomalies détectées par le moteur Machine Learning de Microsoft Sentinel
Cet article répertorie les anomalies détectées par Microsoft Sentinel à l’aide de différents modèles Machine Learning.
La détection d’anomalies fonctionne en analysant le comportement des utilisateurs dans un environnement sur une période et en construisant une ligne de base d’activité légitime. Une fois la ligne de base établie, toute activité en dehors des paramètres normaux est considérée comme anormale et donc suspecte.
Microsoft Sentinel utilise deux modèles différents pour créer des lignes de base et détecter des anomalies.
Remarque
Les détections d’anomalies suivantes sont abandonnées depuis le 26 mars 2024, en raison d’une faible qualité des résultats :
- Anomalie Palo Alto de réputation de domaine
- Connexions multirégions en une seule journée via Palo Alto GlobalProtect
Important
Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Anomalies UEBA
Sentinel UEBA détecte les anomalies basées sur des lignes de base dynamiques créées pour chaque entité sur différentes entrées de données. Le comportement de base de chaque entité est défini selon ses propres activités historiques, celles de ses pairs et celles de l’organisation dans son ensemble. Les anomalies peuvent être déclenchées par la corrélation de différents attributs tels que le type d’action, l’emplacement géographique, l’appareil, la ressource, le fournisseur de services Internet et bien plus encore.
Vous devez activer la fonctionnalité UEBA pour que les anomalies UEBA soient détectées.
- Suppression anormale de l’accès au compte
- Création de compte anormale
- Suppression de compte anormale
- Manipulation de compte anormale
- Exécution de code anormale (UEBA)
- Destruction de données anormale
- Modification anormale du mécanisme défensif
- Échec anormal de la connexion
- Réinitialisation anormale du mot de passe
- Privilège anormal accordé
- Connexion anormale
Suppression anormale de l’accès au compte
Description : un attaquant peut interrompre la disponibilité des ressources système et réseau en bloquant l’accès aux comptes utilisés par les utilisateurs légitimes. L’attaquant peut supprimer, verrouiller ou manipuler un compte (par exemple, en modifiant ses informations d’identification) pour supprimer l’accès à celui-ci.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d’activité Azure |
| Tactiques MITRE ATT&CK : | Impact |
| Techniques MITRE ATT&CK : | T1531 - Suppression de l’accès au compte |
| Activité : | Microsoft.Authorization/roleAssignments/delete Log Out |
Retour à la liste | des anomalies UEBA En haut
Création de compte anormale
Description : les adversaires peuvent créer un compte pour maintenir l’accès aux systèmes ciblés. Avec un niveau d’accès suffisant, la création de ces comptes peut être utilisée pour établir un accès aux informations d’identification secondaires sans exiger que les outils d’accès à distance persistants soient déployés sur le système.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d'audit Microsoft Entra |
| Tactiques MITRE ATT&CK : | Persistance |
| Techniques MITRE ATT&CK : | T1136 - Créer un compte |
| Sous-techniques MITRE ATT&CK : | Compte cloud |
| Activité : | Répertoire principal/UserManagement/Ajouter un utilisateur |
Retour à la liste | des anomalies UEBA En haut
Suppression de compte anormale
Description : les adversaires peuvent interrompre la disponibilité des ressources système et réseau en empêchant l’accès aux comptes utilisés par les utilisateurs légitimes. Les comptes peuvent être supprimés, verrouillés ou manipulés (par exemple, les informations d’identification modifiées) pour supprimer l’accès aux comptes.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d'audit Microsoft Entra |
| Tactiques MITRE ATT&CK : | Impact |
| Techniques MITRE ATT&CK : | T1531 - Suppression de l’accès au compte |
| Activité : | Répertoire principal/UserManagement/Supprimer un utilisateur Répertoire principal/Appareil/Supprimer un utilisateur Répertoire principal/UserManagement/Supprimer un utilisateur |
Retour à la liste | des anomalies UEBA En haut
Manipulation de compte anormale
Description : les adversaires peuvent manipuler des comptes pour maintenir l’accès aux systèmes cibles. Ces actions incluent l’ajout de nouveaux comptes à des groupes à privilèges élevés. Dragonfly 2.0, par exemple, a ajouté des comptes nouvellement créés au groupe administrateurs pour maintenir l’accès avec élévation de privilèges. La requête ci-dessous génère une sortie de tous les utilisateurs à rayon d’impact élevé exécutant « Mettre à jour l’utilisateur » (changement de nom) en rôle privilégié ou ceux qui ont modifié les utilisateurs pour la première fois.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d'audit Microsoft Entra |
| Tactiques MITRE ATT&CK : | Persistance |
| Techniques MITRE ATT&CK : | T1098 - Manipulation de compte |
| Activité : | Répertoire principal/UserManagement/Mettre à jour un utilisateur |
Retour à la liste | des anomalies UEBA En haut
Exécution de code anormale (UEBA)
Description : les adversaires peuvent abuser des commandes et des interpréteurs de scripts pour exécuter des commandes, des scripts ou des fichiers binaires. Ces interfaces et langages offrent des moyens d’interagir avec des systèmes informatiques et sont une fonctionnalité courante sur de nombreuses plateformes différentes.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d’activité Azure |
| Tactiques MITRE ATT&CK : | Exécution |
| Techniques MITRE ATT&CK : | T1059 - Interpréteur de commandes et de scripts |
| Sous-techniques MITRE ATT&CK : | PowerShell |
| Activité : | Microsoft.Compute/virtualMachines/runCommand/action |
Retour à la liste | des anomalies UEBA En haut
Destruction de données anormale
Description : les adversaires peuvent détruire des données et des fichiers sur des systèmes spécifiques ou en grand nombre sur un réseau pour interrompre la disponibilité des systèmes, des services et des ressources réseau. La destruction des données est susceptible de rendre les données stockées irrécupérables par des techniques d’analyse par le biais d’un remplacement de fichiers ou de données sur des lecteurs locaux et distants.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d’activité Azure |
| Tactiques MITRE ATT&CK : | Impact |
| Techniques MITRE ATT&CK : | T1485 - Destruction de données |
| Activité : | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Retour à la liste | des anomalies UEBA En haut
Modification anormale du mécanisme défensif
Description : les adversaires peuvent désactiver les outils de sécurité pour éviter la détection possible de leurs outils et activités.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d’activité Azure |
| Tactiques MITRE ATT&CK : | Évasion de défense |
| Techniques MITRE ATT&CK : | T1562 - Défenses d’altération |
| Sous-techniques MITRE ATT&CK : | Désactiver ou modifier des outils Désactiver ou modifier le pare-feu cloud |
| Activité : | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Retour à la liste | des anomalies UEBA En haut
Échec anormal de la connexion
Description : les adversaires sans connaissance préalable des informations d’identification légitimes au sein du système ou de l’environnement peuvent deviner les mots de passe pour tenter d’accéder à des comptes.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux de connexion Microsoft Entra Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès aux informations d’identification |
| Techniques MITRE ATT&CK : | T1110 - Force brute |
| Activité : | Microsoft Entra ID : activité de connexion Sécurité Windows : Échec de la connexion (ID d’événement 4625) |
Retour à la liste | des anomalies UEBA En haut
Réinitialisation anormale du mot de passe
Description : les adversaires peuvent interrompre la disponibilité des ressources système et réseau en empêchant l’accès aux comptes utilisés par les utilisateurs légitimes. Les comptes peuvent être supprimés, verrouillés ou manipulés (par exemple, les informations d’identification modifiées) pour supprimer l’accès aux comptes.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d'audit Microsoft Entra |
| Tactiques MITRE ATT&CK : | Impact |
| Techniques MITRE ATT&CK : | T1531 - Suppression de l’accès au compte |
| Activité : | Répertoire principal/UserManagement/Réinitialisation du mot de passe de l’utilisateur |
Retour à la liste | des anomalies UEBA En haut
Privilège anormal accordé
Description : les adversaires peuvent ajouter des informations d’identification contrôlées par l’adversaire pour les principaux de service Azure en plus des informations d’identification légitimes existantes pour maintenir l’accès persistant aux comptes Azure victimes.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d'audit Microsoft Entra |
| Tactiques MITRE ATT&CK : | Persistance |
| Techniques MITRE ATT&CK : | T1098 - Manipulation de compte |
| Sous-techniques MITRE ATT&CK : | Informations d’identification supplémentaires du principal de service |
| Activité : | Approvisionnement de compte/Gestion des applications/Ajouter une attribution de rôle d’application au principal de service |
Retour à la liste | des anomalies UEBA En haut
Connexion anormale
Description : les adversaires peuvent voler les informations d’identification d’un utilisateur ou d’un compte de service spécifique à l’aide de techniques d’accès aux informations d’identification, ou capturer les informations d’identification plus tôt dans leur processus de reconnaissance par le biais d’une méthode d’ingénierie sociale pour obtenir la persistance.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux de connexion Microsoft Entra Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Persistance |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
| Activité : | Microsoft Entra ID : activité de connexion Sécurité Windows : Connexion réussie (ID d’événement 4624) |
Retour à la liste | des anomalies UEBA En haut
Anomalies basées sur le Machine Learning
Les anomalies personnalisables basées sur le Machine Learning de Microsoft Sentinel peuvent identifier un comportement anormal avec des modèles de règle d’analyse qui peuvent être implémentés sans configuration supplémentaire. Même si les anomalies n’indiquent pas nécessairement un comportement malveillant ou suspect, elles peuvent être utilisées pour améliorer les détections, les investigations et la recherche de menaces.
- Sessions de connexion Microsoft Entra anormales
- Opérations Azure anormales
- Exécution de code anormale
- Création anormale d’un compte local
- Activité d’analyse anormale
- Activités utilisateur anormales dans Office Exchange
- Activités d’utilisateur/application anormales dans les journaux d’audit Azure
- Activité anormale des journaux W3CIIS
- Activité de requête web anormale
- Tentative de force brute de l’ordinateur
- Tentative de force brute du compte d’utilisateur
- Tentative de force brute du compte d’utilisateur par type de connexion
- Tentative de force brute du compte d’utilisateur par motif de défaillance
- Détecter le comportement de balisage réseau généré par l’ordinateur
- Algorithme de génération de domaine (DGA) sur des domaines DNS
- Anomalie Palo Alto de réputation de domaine (DISCONTINUED)
- Anomalie de transfert de données excessif
- Téléchargements excessifs via Palo Alto GlobalProtect
- Chargements excessifs via Palo Alto GlobalProtect
- Connexion à partir d’une région inhabituelle via les connexions de compte Palo Alto GlobalProtect
- Connexions multirégions en une seule journée via Palo Alto GlobalProtect (DISCONTINUED)
- Mise en lots de données potentielles
- Algorithme de génération de domaine potentiel (DGA) sur des domaines DNS de niveau suivant
- Modification suspecte de la géographie dans les connexions de compte Palo Alto GlobalProtect
- Nombre suspect de documents protégés accessibles
- Volume suspect d’appels d’API AWS à partir d’une adresse IP de source non-AWS
- Volume suspect d’événements de journal AWS CloudTrail du compte d’utilisateur de groupe par EventTypeName
- Volume suspect d’appels d’API d’écriture AWS à partir d’un compte d’utilisateur
- Volume suspect de tentatives de connexion ayant échoué à la console AWS par chaque compte d’utilisateur de groupe
- Volume suspect de tentatives de connexion ayant échoué à la console AWS par chaque adresse IP source
- Volume suspect de connexions à l’ordinateur
- Volume suspect de connexions à l’ordinateur avec jeton avec élévation de privilèges
- Volume suspect de connexions au compte d’utilisateur
- Volume suspect de connexions au compte d’utilisateur par types de connexions
- Volume suspect de connexions au compte d'utilisateur avec jeton avec élévation de privilèges
- Alarme de pare-feu externe inhabituelle détectée
- Étiquette AIP de mise à niveau de masse inhabituelle
- Communication réseau inhabituelle sur les ports couramment utilisés
- Anomalie inhabituelle du volume réseau
- Trafic web inhabituel détecté avec l’adresse IP dans le chemin d’accès d’URL
Sessions de connexion Microsoft Entra anormales
Description : le modèle Machine Learning regroupe les journaux de connexion Microsoft Entra par utilisateur. Le modèle est entraîné sur les 6 jours précédents du comportement de connexion utilisateur. Il indique des sessions de connexion anormales de l’utilisateur au cours de la dernière journée.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de connexion Microsoft Entra |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides T1566 - Hameçonnage T1133 - Services distants externes |
Retour à la liste | des anomalies basées sur Machine Learning
Opérations Azure anormales
Description : cet algorithme de détection collecte 21 jours de données sur les opérations Azure regroupées par l’utilisateur pour entraîner ce modèle ML. L’algorithme génère ensuite des anomalies dans le cas des utilisateurs qui ont effectué des séquences d’opérations rares dans leurs espaces de travail. Le modèle ML formé évalue les opérations effectuées par l’utilisateur et considère comme anormales celles dont le score est supérieur au seuil défini.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux d’activité Azure |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1190 - Exploiter une application publique |
Retour à la liste | des anomalies basées sur Machine Learning
Exécution de code anormale
Description : les attaquants peuvent abuser des commandes et des interpréteurs de scripts pour exécuter des commandes, des scripts ou des fichiers binaires. Ces interfaces et langages offrent des moyens d’interagir avec des systèmes informatiques et sont une fonctionnalité courante sur de nombreuses plateformes différentes.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux d’activité Azure |
| Tactiques MITRE ATT&CK : | Exécution |
| Techniques MITRE ATT&CK : | T1059 - Interpréteur de commandes et de scripts |
Retour à la liste | des anomalies basées sur Machine Learning
Création anormale d’un compte local
Description : cet algorithme détecte la création anormale d’un compte local sur des systèmes Windows. Les attaquants peuvent créer des comptes locaux pour maintenir l’accès aux systèmes ciblés. Cet algorithme analyse l’activité de création de compte local au cours des 14 derniers jours par les utilisateurs. Il recherche une activité similaire le jour actuel de la part des utilisateurs qui n’ont pas été précédemment vus dans l’activité historique. Vous pouvez spécifier une liste verte pour filtrer les utilisateurs connus à partir du déclenchement de cette anomalie.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Persistance |
| Techniques MITRE ATT&CK : | T1136 - Créer un compte |
Retour à la liste | des anomalies basées sur Machine Learning
Activité d’analyse anormale
Description : cet algorithme recherche l’activité d’analyse des ports, provenant d’une adresse IP source unique vers une ou plusieurs adresses IP de destination, qui n’est normalement pas visible dans un environnement donné.
L’algorithme prend en compte si l’adresse IP est publique/externe ou privée/interne, et l’événement est marqué en conséquence. Seule l’activité privée à public ou publique à privée est prise en considération pour l’instant. L’activité d’analyse peut indiquer qu’un attaquant tente de déterminer les services disponibles dans un environnement qui peuvent être potentiellement exploités et utilisés pour l’entrée ou le mouvement latéral. Un grand nombre de ports sources et un nombre élevé de ports de destination d’une adresse IP source unique à une ou plusieurs adresses IP ou adresses IP de destination peuvent être intéressants et indiquer une analyse anormale. En outre, s’il existe un ratio élevé d’adresses IP de destination à l’adresse IP source unique, cela peut indiquer une analyse anormale.
Détails de configuration :
- La valeur par défaut de l’exécution du travail est quotidienne, avec des créneaux horaires.
L’algorithme utilise les valeurs par défaut configurables suivantes pour limiter les résultats en fonction des créneaux horaires. - Actions d’appareil incluses : accepter, autoriser, démarrer
- Ports exclus : 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
- Nombre de ports de destination distincts >= 600
- Nombre de ports sources distincts >= 600
- Nombre de ports sources distincts divisé par port de destination distinct, ratio converti en pourcentage >= 99,99
- Adresse IP source (toujours 1) divisée par adresse IP de destination, ratio converti en pourcentage >= 99,99
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Tactiques MITRE ATT&CK : | Découverte |
| Techniques MITRE ATT&CK : | T1046 - Analyse du service réseau |
Retour à la liste | des anomalies basées sur Machine Learning
Activités utilisateur anormales dans Office Exchange
Description : ce modèle Machine Learning regroupe les journaux d’activité Office Exchange par utilisateur en compartiments horaires. Nous définissons une heure comme une session. Le modèle est entraîné sur les 7 jours précédents de comportement sur tous les utilisateurs réguliers (non administrateurs). Il indique des sessions Office Exchange d’utilisateur anormales au cours du dernier jour.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | journal d’activité Office (Exchange) |
| Tactiques MITRE ATT&CK : | Persistance Collection |
| Techniques MITRE ATT&CK : | Collecte : T1114 - Collecte d’e-mails T1213 - Données des référentiels d’informations Persistance : T1098 - Manipulation de compte T1136 - Créer un compte T1137 - Démarrage de l’application Office T1505 - Composant logiciel serveur |
Retour à la liste | des anomalies basées sur Machine Learning
Activités d’utilisateur/application anormales dans les journaux d’audit Azure
Description : cet algorithme identifie les sessions Azure anormales utilisateur/application dans les journaux d’audit pour le dernier jour, en fonction du comportement des 21 jours précédents sur l’ensemble des utilisateurs et applications. L’algorithme recherche un volume suffisant de données avant d’entraîner le modèle.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux d'audit Microsoft Entra |
| Tactiques MITRE ATT&CK : | Collection Découverte Accès initial Persistance Élévation des privilèges |
| Techniques MITRE ATT&CK : | Collecte : T1530 - Données de l’objet de stockage cloud Découverte : T1087 - Découverte de compte T1538 - Tableau de bord du service cloud T1526 - Découverte du service cloud T1069 - Découverte de groupes d’autorisations T1518 - Découverte de logiciels Accès initial : T1190 - Exploiter une application publique T1078 - Comptes valides Persistance : T1098 - Manipulation de compte T1136 - Créer un compte T1078 - Comptes valides Élévation des privilèges : T1484 - Modification de la stratégie de domaine T1078 - Comptes valides |
Retour à la liste | des anomalies basées sur Machine Learning
Activité anormale des journaux W3CIIS
Description : cet algorithme de Machine Learning indique des sessions IIS anormales au cours du dernier jour. Il capture, par exemple, un nombre inhabituellement élevé de requêtes URI distinctes, d’agents utilisateur ou de journaux d’activité dans une session, ou de verbes HTTP spécifiques ou d’états HTTP dans une session. L’algorithme identifie les événements W3CIISLog inhabituels dans une session horaire, regroupés par nom de site et adresse IP du client. Le modèle est entraîné au cours des 7 derniers jours de l’activité IIS. L’algorithme recherche un volume suffisant d’activités IIS avant d’entraîner le modèle.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux W3CIIS |
| Tactiques MITRE ATT&CK : | Accès initial Persistance |
| Techniques MITRE ATT&CK : | Accès initial : T1190 - Exploiter une application publique Persistance : T1505 - Composant logiciel serveur |
Retour à la liste | des anomalies basées sur Machine Learning
Activité de requête web anormale
Description : cet algorithme regroupe les événements W3CIISLog en sessions horaires regroupées par nom de site et ressource URI. Le modèle Machine Learning identifie les sessions avec un nombre inhabituellement élevé de requêtes qui ont déclenché des codes de réponse de classe 5xx au cours du dernier jour. Les codes de classe 5xx indiquent que certaines conditions d’instabilité ou d’erreur de l’application ont été déclenchées par la requête. Il peut s’agir d’une indication qu’un attaquant sonde la ressource URI pour détecter les vulnérabilités et les problèmes de configuration, effectuer une activité d’exploitation telle que l’injection de code SQL ou tirer parti d’une vulnérabilité non corrigée. Cet algorithme utilise 6 jours de données pour l’apprentissage.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux W3CIIS |
| Tactiques MITRE ATT&CK : | Accès initial Persistance |
| Techniques MITRE ATT&CK : | Accès initial : T1190 - Exploiter une application publique Persistance : T1505 - Composant logiciel serveur |
Retour à la liste | des anomalies basées sur Machine Learning
Tentative de force brute de l’ordinateur
Description : cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par ordinateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès aux informations d’identification |
| Techniques MITRE ATT&CK : | T1110 - Force brute |
Retour à la liste | des anomalies basées sur Machine Learning
Tentative de force brute du compte d’utilisateur
Description : cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par compte d'utilisateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès aux informations d’identification |
| Techniques MITRE ATT&CK : | T1110 - Force brute |
Retour à la liste | des anomalies basées sur Machine Learning
Tentative de force brute du compte d’utilisateur par type de connexion
Description : cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par type de connexion au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès aux informations d’identification |
| Techniques MITRE ATT&CK : | T1110 - Force brute |
Retour à la liste | des anomalies basées sur Machine Learning
Tentative de force brute du compte d’utilisateur par motif de défaillance
Description : cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par motif de défaillance au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès aux informations d’identification |
| Techniques MITRE ATT&CK : | T1110 - Force brute |
Retour à la liste | des anomalies basées sur Machine Learning
Détecter le comportement de balisage réseau généré par l’ordinateur
Description : cet algorithme identifie les modèles de balisage à partir des journaux de connexion de trafic réseau en fonction des modèles delta de temps récurrents. Toute connexion réseau vers des réseaux publics non approuvés à différents moments répétitifs est une indication des tentatives de rappel de programmes malveillants ou d’exfiltration de données. L’algorithme calcule la différence de temps entre les connexions réseau consécutives entre la même adresse IP source et l’adresse IP de destination, ainsi que le nombre de connexions dans une séquence de différence de temps entre les mêmes sources et destinations. Le pourcentage de balisage est calculé en tant que connexions dans la séquence de différences de temps par rapport au nombre total de connexions en un jour.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | CommonSecurityLog (PAN) |
| Tactiques MITRE ATT&CK : | Commande et contrôle |
| Techniques MITRE ATT&CK : | T1071 - Protocole de couche Application T1132 - Encodage des données T1001 - Obfuscation des données T1568 - Résolution dynamique T1573 - Canal chiffré T1008 - Canaux de secours T1104 - Canaux multiphases T1095 - Protocole de couche non-application T1571 - Port non standard T1572 - Tunneling de protocole T1090 - Proxy T1205 - Signalisation du trafic T1102 - Service web |
Retour à la liste | des anomalies basées sur Machine Learning
Algorithme de génération de domaine (DGA) sur des domaines DNS
Description : ce modèle Machine Learning indique les domaines DGA potentiels du dernier jour dans les journaux DNS. L’algorithme s’applique aux enregistrements DNS qui sont résolus en adresses IPv4 et IPv6.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Événements DNS |
| Tactiques MITRE ATT&CK : | Commande et contrôle |
| Techniques MITRE ATT&CK : | T1568 - Résolution dynamique |
Retour à la liste | des anomalies basées sur Machine Learning
Anomalie Palo Alto de réputation de domaine (DISCONTINUED)
Description : cet algorithme évalue la réputation de tous les domaines vus spécifiquement dans les journaux de pare-feu Palo Alto (produit PAN-OS). Un score d’anomalie élevé indique une faible réputation, suggérant que le domaine a été observé pour héberger du contenu malveillant ou est susceptible de le faire.
Retour à la liste | des anomalies basées sur Machine Learning
Anomalie de transfert de données excessif
Description : cet algorithme détecte un transfert de données anormalement élevé observé dans les journaux réseau. Il utilise des séries chronologiques pour décomposer les données en composants saisonniers, tendances et résiduels pour calculer la ligne de base. Tout écart important soudain de la ligne de base historique est considéré comme une activité anormale.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Tactiques MITRE ATT&CK : | Exfiltration |
| Techniques MITRE ATT&CK : | T1030 - Limites de taille de transfert de données T1041 - Exfiltration sur le canal C2 T1011 - Exfiltration sur d’autres supports réseau T1567 - Exfiltration sur le service web T1029 - Transfert planifié T1537 - Transférer des données vers un compte cloud |
Retour à la liste | des anomalies basées sur Machine Learning
Téléchargements excessifs via Palo Alto GlobalProtect
Description : cet algorithme détecte un volume inhabituel de téléchargement par compte d’utilisateur via la solution VPN Palo Alto. Le modèle est entraîné au cours des 14 derniers jours des journaux VPN. Il indique un volume anormalement élevé de téléchargements au cours de la dernière journée.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | CommonSecurityLog (VPN PAN) |
| Tactiques MITRE ATT&CK : | Exfiltration |
| Techniques MITRE ATT&CK : | T1030 - Limites de taille de transfert de données T1041 - Exfiltration sur le canal C2 T1011 - Exfiltration sur d’autres supports réseau T1567 - Exfiltration sur le service web T1029 - Transfert planifié T1537 - Transférer des données vers un compte cloud |
Retour à la liste | des anomalies basées sur Machine Learning
Chargements excessifs via Palo Alto GlobalProtect
Description : cet algorithme détecte un volume inhabituel de chargements par compte d’utilisateur via la solution VPN Palo Alto. Le modèle est entraîné au cours des 14 derniers jours des journaux VPN. Il indique un volume anormalement élevé de chargements au cours de la dernière journée.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | CommonSecurityLog (VPN PAN) |
| Tactiques MITRE ATT&CK : | Exfiltration |
| Techniques MITRE ATT&CK : | T1030 - Limites de taille de transfert de données T1041 - Exfiltration sur le canal C2 T1011 - Exfiltration sur d’autres supports réseau T1567 - Exfiltration sur le service web T1029 - Transfert planifié T1537 - Transférer des données vers un compte cloud |
Retour à la liste | des anomalies basées sur Machine Learning
Connexion à partir d’une région inhabituelle via les connexions de compte Palo Alto GlobalProtect
Description : lorsqu’un compte Palo Alto GlobalProtect se connecte à partir d’une région source qui a rarement été connectée au cours des 14 derniers jours, une anomalie est déclenchée. Cette anomalie peut indiquer que le compte a été compromis.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | CommonSecurityLog (VPN PAN) |
| Tactiques MITRE ATT&CK : | Accès aux informations d’identification Accès initial Déplacement latéral |
| Techniques MITRE ATT&CK : | T1133 - Services distants externes |
Retour à la liste | des anomalies basées sur Machine Learning
Connexions multirégions en une seule journée via Palo Alto GlobalProtect (DISCONTINUED)
Description : cet algorithme détecte un compte d’utilisateur qui avait des connexions à partir de plusieurs régions non adjacentes en une seule journée par le biais d’un VPN Palo Alto.
Retour à la liste | des anomalies basées sur Machine Learning
Mise en lots de données potentielles
Description : cet algorithme compare les téléchargements de fichiers distincts par utilisateur à partir de la semaine précédente avec les téléchargements du jour actuel pour chaque utilisateur, et une anomalie est déclenchée lorsque le nombre de téléchargements de fichiers distincts dépasse le nombre configuré d’écarts types au-dessus de la moyenne. Actuellement, l’algorithme analyse uniquement les fichiers couramment vus lors de l’exfiltration de documents, d’images, de vidéos et d’archives avec les extensions doc, docx, xls, xlsx, xlsm, ppt, pptx, one, pdf, zip, rar, bmp, jpg, mp3, mp4 et mov.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | journal d’activité Office (Exchange) |
| Tactiques MITRE ATT&CK : | Collection |
| Techniques MITRE ATT&CK : | T1074 - Données intermédiaires |
Retour à la liste | des anomalies basées sur Machine Learning
Algorithme de génération de domaine potentiel (DGA) sur des domaines DNS de niveau suivant
Description : ce modèle Machine Learning indique les domaines de niveau suivant (troisième niveau et supérieur) des noms de domaine du dernier jour des journaux DNS inhabituels. Ils peuvent potentiellement être la sortie d’un algorithme de génération de domaine (DGA). L’anomalie s’applique aux enregistrements DNS qui sont résolus en adresses IPv4 et IPv6.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Événements DNS |
| Tactiques MITRE ATT&CK : | Commande et contrôle |
| Techniques MITRE ATT&CK : | T1568 - Résolution dynamique |
Retour à la liste | des anomalies basées sur Machine Learning
Modification suspecte de la géographie dans les connexions de compte Palo Alto GlobalProtect
Description : une correspondance indique qu’un utilisateur s’est connecté à distance à partir d’un pays/région différent du pays/région de la dernière connexion à distance de l’utilisateur. Cette règle peut également indiquer une compromission de compte, en particulier si la correspondance de la règle s’est produite dans un délai proche. Cela inclut le scénario de voyage impossible.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | CommonSecurityLog (VPN PAN) |
| Tactiques MITRE ATT&CK : | Accès initial Accès aux informations d’identification |
| Techniques MITRE ATT&CK : | T1133 - Services distants externes T1078 - Comptes valides |
Retour à la liste | des anomalies basées sur Machine Learning
Nombre suspect de documents protégés accessibles
Description : cet algorithme détecte un volume élevé d’accès aux documents protégés dans les journaux Azure Information Protection (AIP). Il considère les enregistrements de charge de travail AIP pendant un nombre donné de jours et détermine si l’utilisateur a effectué un accès inhabituel aux documents protégés en un jour compte tenu du comportement historique.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux Azure Information Protection |
| Tactiques MITRE ATT&CK : | Collection |
| Techniques MITRE ATT&CK : | T1530 - Données de l’objet de stockage cloud T1213 - Données des référentiels d’informations T1005 - Données du système local T1039 - Données du lecteur de partage réseau T1114 - Collecte d’e-mails |
Retour à la liste | des anomalies basées sur Machine Learning
Volume suspect d’appels d’API AWS à partir d’une adresse IP de source non-AWS
Description : cet algorithme détecte un volume inhabituellement élevé d’appels d’API AWS par compte d’utilisateur par espace de travail, à partir d’adresses IP sources en dehors des plages d’adresses IP sources d’AWS, au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents des événements de journal AWS CloudTrail par adresse IP source. Cette activité peut indiquer que le compte d’utilisateur est compromis.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux AWS CloudTrail |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
Retour à la liste | des anomalies basées sur Machine Learning
Volume suspect d’événements de journal AWS CloudTrail du compte d’utilisateur de groupe par EventTypeName
Description : cet algorithme détecte un volume d’événements inhabituellement élevé par compte d’utilisateur de groupe, par différents types d’événements (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction), dans votre journal AWS CloudTrail au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents des événements de journal AWS CloudTrail par compte de groupe d’utilisateurs. Cette activité peut indiquer que le compte est compromis.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux AWS CloudTrail |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
Retour à la liste | des anomalies basées sur Machine Learning
Volume suspect d’appels d’API d’écriture AWS à partir d’un compte d’utilisateur
Description : cet algorithme détecte un volume inhabituellement élevé d’appels d’API d’écriture AWS par compte d’utilisateur au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents des événements de journal AWS CloudTrail par compte d’utilisateur. Cette activité peut indiquer que le compte est compromis.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux AWS CloudTrail |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
Retour à la liste | des anomalies basées sur Machine Learning
Volume suspect de tentatives de connexion ayant échoué à la console AWS par chaque compte d’utilisateur de groupe
Description : cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué à la console AWS par compte d’utilisateur de groupe dans votre journal AWS CloudTrail au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents des événements de journal AWS CloudTrail par compte de groupe d’utilisateurs. Cette activité peut indiquer que le compte est compromis.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux AWS CloudTrail |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
Retour à la liste | des anomalies basées sur Machine Learning
Volume suspect de tentatives de connexion ayant échoué à la console AWS par chaque adresse IP source
Description : cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué à la console AWS par adresse IP source dans votre journal AWS CloudTrail au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents des événements de journal AWS CloudTrail par adresse IP source. Cette activité peut indiquer que l’adresse IP est compromise.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux AWS CloudTrail |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
Retour à la liste | des anomalies basées sur Machine Learning
Volume suspect de connexions à l’ordinateur
Description : cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) par ordinateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
Retour à la liste | des anomalies basées sur Machine Learning
Volume suspect de connexions à l’ordinateur avec jeton avec élévation de privilèges
Description : cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) avec des privilèges administratifs par ordinateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
Retour à la liste | des anomalies basées sur Machine Learning
Volume suspect de connexions au compte d’utilisateur
Description : cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) par compte d'utilisateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
Retour à la liste | des anomalies basées sur Machine Learning
Volume suspect de connexions au compte d’utilisateur par types de connexions
Description : cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) par compte d'utilisateur et par différents types de connexions, au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
Retour à la liste | des anomalies basées sur Machine Learning
Volume suspect de connexions au compte d'utilisateur avec jeton avec élévation de privilèges
Description : cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) avec des privilèges administratifs par compte d'utilisateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
Retour à la liste | des anomalies basées sur Machine Learning
Alarme de pare-feu externe inhabituelle détectée
Description : cet algorithme identifie les alarmes de pare-feu externes inhabituelles qui sont des signatures de menace publiées par un fournisseur de pare-feu. Il utilise les activités des 7 derniers jours pour calculer les 10 signatures les plus déclenchées et les 10 hôtes qui ont déclenché le plus de signatures. Après avoir exclu les deux types d’événements bruyants, il déclenche une anomalie uniquement après avoir dépassé le seuil du nombre de signatures déclenchées en un seul jour.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | CommonSecurityLog (PAN) |
| Tactiques MITRE ATT&CK : | Découverte Commande et contrôle |
| Techniques MITRE ATT&CK : | Découverte : T1046 - Analyse du service réseau T1135 - Découverte du partage réseau Commande et contrôle : T1071 - Protocole de couche Application T1095 - Protocole de couche non-application T1571 - Port non standard |
Retour à la liste | des anomalies basées sur Machine Learning
Étiquette AIP de mise à niveau de masse inhabituelle
Description : cet algorithme détecte un volume inhabituel d’activité d’étiquette de rétrogradation dans les journaux Azure Information Protection (AIP). Il prend en considération les enregistrements de charge de travail « AIP » pendant un nombre donné de jours et détermine la séquence d’activité effectuée sur les documents, ainsi que l’étiquette appliquée pour classifier le volume inhabituel de l’activité de rétrogradation.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux Azure Information Protection |
| Tactiques MITRE ATT&CK : | Collection |
| Techniques MITRE ATT&CK : | T1530 - Données de l’objet de stockage cloud T1213 - Données des référentiels d’informations T1005 - Données du système local T1039 - Données du lecteur de partage réseau T1114 - Collecte d’e-mails |
Retour à la liste | des anomalies basées sur Machine Learning
Communication réseau inhabituelle sur les ports couramment utilisés
Description : cet algorithme identifie les communications réseau inhabituelles sur les ports couramment utilisés, comparant le trafic quotidien à une ligne de base des 7 jours précédents. Cela inclut le trafic sur les ports couramment utilisés (22, 53, 80, 443, 8080, 8888) et compare le trafic quotidien à l’écart moyen et standard de plusieurs attributs de trafic réseau calculés au cours de la période de référence. Les attributs de trafic considérés sont des événements totaux quotidiens, un transfert de données quotidien et un nombre d’adresses IP sources distinctes par port. Une anomalie est déclenchée lorsque les valeurs quotidiennes sont supérieures au nombre configuré d’écarts types au-dessus de la moyenne.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| Tactiques MITRE ATT&CK : | Commande et contrôle Exfiltration |
| Techniques MITRE ATT&CK : | Commande et contrôle : T1071 - Protocole de couche Application Exfiltration : T1030 - Limites de taille de transfert de données |
Retour à la liste | des anomalies basées sur Machine Learning
Anomalie inhabituelle du volume réseau
Description : cet algorithme détecte un volume inhabituel de connexions dans les journaux réseau. Il utilise des séries chronologiques pour décomposer les données en composants saisonniers, tendances et résiduels pour calculer la ligne de base. Tout écart important soudain de la ligne de base historique est considéré comme une activité anormale.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Tactiques MITRE ATT&CK : | Exfiltration |
| Techniques MITRE ATT&CK : | T1030 - Limites de taille de transfert de données |
Retour à la liste | des anomalies basées sur Machine Learning
Trafic web inhabituel détecté avec l’adresse IP dans le chemin d’accès d’URL
Description : cet algorithme identifie les requêtes web inhabituelles qui répertorient une adresse IP en tant qu’hôte. L’algorithme recherche toutes les requêtes web avec des adresses IP dans le chemin d’URL et les compare à la semaine précédente des données pour exclure le trafic inoffensif connu. Après avoir exclu le trafic inoffensif connu, il déclenche une anomalie uniquement après avoir dépassé certains seuils avec des valeurs configurées telles que le nombre total de requêtes web, le nombre d’URL vues avec la même adresse IP de destination hôte et le nombre d’adresses IP sources distinctes au sein de l’ensemble d’URL avec la même adresse IP de destination. Ce type de requête peut indiquer une tentative de contournement des services de réputation d’URL à des fins malveillantes.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| Tactiques MITRE ATT&CK : | Commande et contrôle Accès initial |
| Techniques MITRE ATT&CK : | Commande et contrôle : T1071 - Protocole de couche Application Accès initial : T1189 - Compromission par lecteur |
Retour à la liste | des anomalies basées sur Machine Learning
Étapes suivantes
Découvrez les anomalies générées par l’apprentissage automatique dans Microsoft Sentinel.
Découvrez comment utiliser des règles d’anomalie.
Examiner les incidents avec Microsoft Sentinel.