Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Microsoft Sentinel détecte les anomalies en analysant le comportement des utilisateurs dans un environnement sur une période de temps et en construisant une base de référence d’activité légitime. Une fois la ligne de base établie, toute activité en dehors des paramètres normaux est considérée comme anormale et donc suspecte.
Microsoft Sentinel utilise deux modèles pour créer des lignes de base et détecter des anomalies.
Cet article répertorie les anomalies détectées par Microsoft Sentinel à l’aide de différents modèles Machine Learning.
Dans la table Anomalies :
- La
rulenamecolonne indique la règle Sentinel utilisée pour identifier chaque anomalie. - La
scorecolonne contient une valeur numérique comprise entre 0 et 1, qui quantifie le degré d’écart par rapport au comportement attendu. Les scores plus élevés indiquent un écart plus élevé par rapport à la ligne de base et sont plus susceptibles d’être de véritables anomalies. Les scores inférieurs peuvent encore être anormales, mais sont moins susceptibles d’être significatifs ou actionnables.
Note
Ces détections d’anomalies sont abandonnées depuis le 26 mars 2024, en raison d’une faible qualité des résultats :
- Anomalie Palo Alto de réputation de domaine
- Connexions multirégions en une seule journée via Palo Alto GlobalProtect
Important
Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5.
À compter de juillet 2026, tous les clients utilisant Microsoft Sentinel dans le portail Azure seront redirigés vers le portail Defender et utiliseront Microsoft Sentinel uniquement dans le portail Defender. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender.
Si vous utilisez toujours Microsoft Sentinel dans le portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition fluide et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez It’s Time to Move : Retireing Microsoft Sentinel’s Azure portal for greater security.
Anomalies UEBA
Sentinel UEBA détecte les anomalies basées sur des lignes de base dynamiques créées pour chaque entité sur différentes entrées de données. Le comportement de base de chaque entité est défini selon ses propres activités historiques, celles de ses pairs et celles de l’organisation dans son ensemble. Les anomalies peuvent être déclenchées par la corrélation de différents attributs tels que le type d’action, l’emplacement géographique, l’appareil, la ressource, le fournisseur de services Internet et bien plus encore.
Vous devez activer UEBA et la détection d’anomalies dans votre espace de travail Sentinel pour détecter les anomalies UEBA.
UEBA détecte les anomalies en fonction des règles d’anomalie suivantes :
- Suppression anormale de l’accès au compte UEBA
- Création de compte anormaux UEBA
- Suppression anormale d’un compte UEBA
- Manipulation anormale du compte UEBA
- Activité anormale UEBA dans les journaux d’audit GCP (préversion)
- Activité anormale UEBA dans Okta_CL (préversion)
- Authentification anormale UEBA (préversion)
- Exécution anormale du code UEBA
- Destruction anormale des données UEBA
- Transfert de données anormaux UEBA à partir d’Amazon S3 (préversion)
- Modification anormale du mécanisme défensif UEBA
- Échec de la connexion UEBA
- Activité d’identité FÉDÉRÉE ou SAML anormale dans AwsCloudTrail (préversion)
- Modification anormale des privilèges IAM dans AwsCloudTrail (préversion)
- Ouverture de session anormale UEBA dans AwsCloudTrail (préversion)
- Échecs d’authentification multifacteur UEBA anormales dans Okta_CL (préversion)
- Réinitialisation anormale du mot de passe UEBA
- Privilèges anormaux accordés par UEBA
- Accès à clé SECRÈTE ou KMS anormaux UEBA dans AwsCloudTrail (préversion)
- Connexion anormale UEBA
- Comportement anormaux DE STS AssumeRole dans AwsCloudTrail (préversion)
Sentinel utilise des données enrichies de la table BehaviorAnalytics pour identifier les anomalies UEBA avec un score de confiance spécifique à votre locataire et à votre source.
Suppression anormale de l’accès au compte UEBA
Description: Un attaquant peut interrompre la disponibilité des ressources système et réseau en bloquant l’accès aux comptes utilisés par les utilisateurs légitimes. L’attaquant peut supprimer, verrouiller ou manipuler un compte (par exemple, en modifiant ses informations d’identification) pour supprimer l’accès à celui-ci.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d’activité Azure |
| Tactiques MITRE ATT&CK : | Impact |
| Techniques MITRE ATT&CK : | T1531 - Suppression de l’accès au compte |
| Activity: | Microsoft.Authorization/roleAssignments/delete Se déconnecter |
Retour à la liste | des anomalies UEBARevenir en haut
Création de compte anormaux UEBA
Description: Les adversaires peuvent créer un compte pour maintenir l’accès aux systèmes ciblés. Avec un niveau d’accès suffisant, la création de ces comptes peut être utilisée pour établir un accès aux informations d’identification secondaires sans exiger que les outils d’accès à distance persistants soient déployés sur le système.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d'audit Microsoft Entra |
| Tactiques MITRE ATT&CK : | Persistence |
| Techniques MITRE ATT&CK : | T1136 - Créer un compte |
| Sous-techniques MITRE ATT&CK : | Compte cloud |
| Activity: | Répertoire principal/UserManagement/Ajouter un utilisateur |
Retour à la liste | des anomalies UEBARevenir en haut
Suppression anormale d’un compte UEBA
Description: Les adversaires peuvent interrompre la disponibilité des ressources système et réseau en empêchant l’accès aux comptes utilisés par des utilisateurs légitimes. Les comptes peuvent être supprimés, verrouillés ou manipulés (par exemple, les informations d’identification modifiées) pour supprimer l’accès aux comptes.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d'audit Microsoft Entra |
| Tactiques MITRE ATT&CK : | Impact |
| Techniques MITRE ATT&CK : | T1531 - Suppression de l’accès au compte |
| Activity: | Répertoire principal/UserManagement/Supprimer un utilisateur Répertoire principal/Appareil/Supprimer un utilisateur Répertoire principal/UserManagement/Supprimer un utilisateur |
Retour à la liste | des anomalies UEBARevenir en haut
Manipulation anormale du compte UEBA
Description: Les adversaires peuvent manipuler des comptes pour maintenir l’accès aux systèmes cibles. Ces actions incluent l’ajout de nouveaux comptes à des groupes à privilèges élevés. Dragonfly 2.0, par exemple, a ajouté des comptes nouvellement créés au groupe administrateurs pour maintenir l’accès avec élévation de privilèges. La requête ci-dessous génère une sortie de tous les utilisateurs à rayon d’impact élevé exécutant « Mettre à jour l’utilisateur » (changement de nom) en rôle privilégié ou ceux qui ont modifié les utilisateurs pour la première fois.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d'audit Microsoft Entra |
| Tactiques MITRE ATT&CK : | Persistence |
| Techniques MITRE ATT&CK : | T1098 - Manipulation de compte |
| Activity: | Répertoire principal/UserManagement/Mettre à jour un utilisateur |
Retour à la liste | des anomalies UEBARevenir en haut
Activité anormale UEBA dans les journaux d’audit GCP (préversion)
Description: Échec de l’accès aux ressources Google Cloud Platform (GCP) en fonction des entrées liées à IAM dans les journaux d’audit GCP. Ces échecs peuvent refléter des autorisations mal configurées, des tentatives d’accès à des services non autorisés ou des comportements d’attaquant de première étape, tels que la détection de privilèges ou la persistance par le biais de comptes de service.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d’audit GCP |
| Tactiques MITRE ATT&CK : | Découverte |
| Techniques MITRE ATT&CK : | T1087 – Découverte de compte, T1069 – Découverte de groupes d’autorisations |
| Activity: | iam.googleapis.com |
Retour à la liste | des anomalies UEBARevenir en haut
Activité anormale UEBA dans Okta_CL (préversion)
Description: Une activité d’authentification inattendue ou des modifications de configuration liées à la sécurité dans Okta, notamment les modifications apportées aux règles d’authentification, à l’application de l’authentification multifacteur (MFA) ou aux privilèges d’administration. Cette activité peut indiquer des tentatives de modification des contrôles de sécurité d’identité ou de maintien de l’accès via des modifications privilégiées.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d’activité cloud Okta |
| Tactiques MITRE ATT&CK : | Persistance, escalade de privilèges |
| Techniques MITRE ATT&CK : | T1098 - Manipulation de compte, T1556 - Modifier le processus d’authentification |
| Activity: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Retour à la liste | des anomalies UEBARevenir en haut
Authentification anormale UEBA (préversion)
Description: Activité d’authentification inhabituelle entre les signaux de Microsoft Defender pour point de terminaison et l’ID Microsoft Entra, notamment les connexions d’appareils, les connexions d’identité managée et les authentifications du principal de service à partir de l’ID Microsoft Entra. Ces anomalies peuvent suggérer une utilisation incorrecte des informations d’identification, un abus d’identité non humaine ou des tentatives de mouvement latéral en dehors des modèles d’accès classiques.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Microsoft Defender pour point de terminaison, ID Microsoft Entra |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
| Activity: |
Retour à la liste | des anomalies UEBARevenir en haut
Exécution anormale du code UEBA
Description: Les adversaires peuvent abuser des commandes et des interpréteurs de scripts pour exécuter des commandes, des scripts ou des fichiers binaires. Ces interfaces et langages offrent des moyens d’interagir avec des systèmes informatiques et sont une fonctionnalité courante sur de nombreuses plateformes différentes.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d’activité Azure |
| Tactiques MITRE ATT&CK : | Execution |
| Techniques MITRE ATT&CK : | T1059 - Interpréteur de commandes et de scripts |
| Sous-techniques MITRE ATT&CK : | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
Retour à la liste | des anomalies UEBARevenir en haut
Destruction anormale des données UEBA
Description: Les adversaires peuvent détruire des données et des fichiers sur des systèmes spécifiques ou en grand nombre sur un réseau afin d’interrompre la disponibilité des systèmes, des services et des ressources réseau. La destruction des données est susceptible de rendre les données stockées irrécupérables par des techniques d’analyse par le biais d’un remplacement de fichiers ou de données sur des lecteurs locaux et distants.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d’activité Azure |
| Tactiques MITRE ATT&CK : | Impact |
| Techniques MITRE ATT&CK : | T1485 - Destruction de données |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Retour à la liste | des anomalies UEBARevenir en haut
Transfert de données anormaux UEBA à partir d’Amazon S3 (préversion)
Description: Écarts dans l’accès aux données ou les modèles de téléchargement à partir d’Amazon Simple Storage Service (S3). L’anomalie est déterminée à l’aide de bases de référence comportementales pour chaque utilisateur, service et ressource, en comparant le volume de transfert de données, la fréquence et le nombre d’objets accédés par rapport aux normes historiques. Des écarts significatifs , tels que l’accès en bloc à la première fois, les récupérations inhabituelles de données ou l’activité à partir de nouveaux emplacements ou applications, peuvent indiquer une exfiltration de données potentielle, des violations de stratégie ou une mauvaise utilisation des informations d’identification compromises.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux AWS CloudTrail |
| Tactiques MITRE ATT&CK : | Exfiltration |
| Techniques MITRE ATT&CK : | T1567 - Exfiltration sur le service web |
| Activity: | PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload |
Retour à la liste | des anomalies UEBARevenir en haut
Modification anormale du mécanisme défensif UEBA
Description: Les adversaires peuvent désactiver les outils de sécurité pour éviter la détection possible de leurs outils et activités.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d’activité Azure |
| Tactiques MITRE ATT&CK : | Évasion de défense |
| Techniques MITRE ATT&CK : | T1562 - Défenses d’altération |
| Sous-techniques MITRE ATT&CK : | Désactiver ou modifier des outils Désactiver ou modifier le pare-feu cloud |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Retour à la liste | des anomalies UEBARevenir en haut
Échec de la connexion UEBA
Description: Les adversaires sans connaissance préalable des informations d’identification légitimes au sein du système ou de l’environnement peuvent deviner des mots de passe pour tenter d’accéder à des comptes.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux de connexion Microsoft Entra Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès aux informations d’identification |
| Techniques MITRE ATT&CK : | T1110 - Force brute |
| Activity: |
ID Microsoft Entra : Activité de connexion Sécurité Windows : Échec de la connexion (ID d’événement 4625) |
Retour à la liste | des anomalies UEBARevenir en haut
Activité d’identité FÉDÉRÉE ou SAML anormale dans AwsCloudTrail (préversion)
Description: Activité inhabituelle par des identités fédérées ou SAML (Security Assertion Markup Language) impliquant des actions de première fois, des géolocalités inconnues ou des appels d’API excessifs. Ces anomalies peuvent indiquer le détournement de session ou l’utilisation incorrecte des informations d’identification fédérées.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux AWS CloudTrail |
| Tactiques MITRE ATT&CK : | Accès initial, persistance |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides, T1550 - Utiliser un autre matériel d’authentification |
| Activity: | UserAuthentication (EXTERNAL_IDP) |
Retour à la liste | des anomalies UEBARevenir en haut
Modification anormale des privilèges IAM dans AwsCloudTrail (préversion)
Description: Écarts dans le comportement administratif de gestion des identités et des accès (IAM), tels que la création, la modification ou la suppression de rôles, d’utilisateurs et de groupes ou de pièces jointes de nouvelles stratégies intégrées ou gérées. Ceux-ci peuvent indiquer l’escalade de privilèges ou l’abus de stratégie.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux AWS CloudTrail |
| Tactiques MITRE ATT&CK : | Escalade de privilèges, persistance |
| Techniques MITRE ATT&CK : | T1136 - Créer un compte, T1098 - Manipulation de compte |
| Activity: | Créer, ajouter, attacher, supprimer, désactiver, placer et mettre à jour des opérations sur iam.amazonaws.com, sso-directory.amazonaws.com |
Retour à la liste | des anomalies UEBARevenir en haut
Ouverture de session anormale UEBA dans AwsCloudTrail (préversion)
Description: Activité d’ouverture de session inhabituelle dans les services Amazon Web Services (AWS) basés sur des événements CloudTrail tels que ConsoleLogin et d’autres attributs liés à l’authentification. Les anomalies sont déterminées par des écarts dans le comportement de l’utilisateur en fonction d’attributs tels que la géolocalisation, l’empreinte digitale de l’appareil, l’ISP et la méthode d’accès, et peuvent indiquer des tentatives d’accès non autorisées ou des violations de stratégie potentielles.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux AWS CloudTrail |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
| Activity: | ConsoleLogin |
Retour à la liste | des anomalies UEBARevenir en haut
Échecs d’authentification multifacteur UEBA anormales dans Okta_CL (préversion)
Description: Modèles inhabituels de tentatives MFA ayant échoué dans Okta. Ces anomalies peuvent provenir de l’utilisation incorrecte des comptes, des informations d’identification ou de l’utilisation incorrecte de mécanismes d’appareil approuvés, et reflètent souvent des comportements adversaires précoces, tels que le test des informations d’identification volées ou la détection des protections d’identité.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d’activité cloud Okta |
| Tactiques MITRE ATT&CK : | Persistance, escalade de privilèges |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides, T1556 - Modifier le processus d’authentification |
| Activity: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Retour à la liste | des anomalies UEBARevenir en haut
Réinitialisation anormale du mot de passe UEBA
Description: Les adversaires peuvent interrompre la disponibilité des ressources système et réseau en empêchant l’accès aux comptes utilisés par des utilisateurs légitimes. Les comptes peuvent être supprimés, verrouillés ou manipulés (par exemple, les informations d’identification modifiées) pour supprimer l’accès aux comptes.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d'audit Microsoft Entra |
| Tactiques MITRE ATT&CK : | Impact |
| Techniques MITRE ATT&CK : | T1531 - Suppression de l’accès au compte |
| Activity: | Répertoire principal/UserManagement/Réinitialisation du mot de passe de l’utilisateur |
Retour à la liste | des anomalies UEBARevenir en haut
Privilèges anormaux accordés par UEBA
Description: Les adversaires peuvent ajouter des informations d’identification contrôlées par l’adversaire pour les principaux de service Azure en plus des informations d’identification légitimes existantes afin de maintenir l’accès persistant aux comptes Azure victimes.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d'audit Microsoft Entra |
| Tactiques MITRE ATT&CK : | Persistence |
| Techniques MITRE ATT&CK : | T1098 - Manipulation de compte |
| Sous-techniques MITRE ATT&CK : | Informations d’identification supplémentaires du principal de service |
| Activity: | Approvisionnement de compte/Gestion des applications/Ajouter une attribution de rôle d’application au principal de service |
Retour à la liste | des anomalies UEBARevenir en haut
Accès à clé SECRÈTE ou KMS anormaux UEBA dans AwsCloudTrail (préversion)
Description: Accès suspect aux ressources du gestionnaire de secrets AWS ou du service de gestion des clés (KMS). L’accès à la première fois ou une fréquence d’accès inhabituellement élevée peut indiquer la collecte des informations d’identification ou les tentatives d’exfiltration de données.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux AWS CloudTrail |
| Tactiques MITRE ATT&CK : | Accès aux informations d’identification, collection |
| Techniques MITRE ATT&CK : | T1555 - Informations d’identification des magasins de mots de passe |
| Activity: | GetSecretValue BatchGetSecretValue ListKeys ListSecrets PutSecretValue CreateSecret UpdateSecret DeleteSecret CreateKey PutKeyPolicy |
Retour à la liste | des anomalies UEBARevenir en haut
Connexion anormale UEBA
Description: Les adversaires peuvent voler les informations d’identification d’un compte d’utilisateur ou de service spécifique à l’aide de techniques d’accès aux informations d’identification ou capturer des informations d’identification plus tôt dans leur processus de reconnaissance via l’ingénierie sociale pour obtenir la persistance.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux de connexion Microsoft Entra Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Persistence |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
| Activity: |
ID Microsoft Entra : Activité de connexion Sécurité Windows : Connexion réussie (ID d’événement 4624) |
Retour à la liste | des anomalies UEBARevenir en haut
Comportement anormaux DE STS AssumeRole dans AwsCloudTrail (préversion)
Description: Utilisation anormale des actions ASS (AWS Security Token Service) AssumeRole, en particulier impliquant des rôles privilégiés ou un accès inter-comptes. Les écarts par rapport à l’utilisation classique peuvent indiquer une escalade de privilèges ou une compromission d’identité.
| Attribute | Value |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux AWS CloudTrail |
| Tactiques MITRE ATT&CK : | Escalade de privilèges, évasion de défense |
| Techniques MITRE ATT&CK : | T1548 - Mécanisme de contrôle d’élévation d’abus, T1078 - Comptes valides |
| Activity: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity AssumeRoot |
Retour à la liste | des anomalies UEBARevenir en haut
Anomalies basées sur le Machine Learning
Les anomalies personnalisables basées sur le Machine Learning de Microsoft Sentinel peuvent identifier un comportement anormal avec des modèles de règle d’analyse qui peuvent être implémentés sans configuration supplémentaire. Même si les anomalies n’indiquent pas nécessairement un comportement malveillant ou suspect, elles peuvent être utilisées pour améliorer les détections, les investigations et la recherche de menaces.
- Opérations Azure anormales
- Exécution anormale du code
- Création anormale d’un compte local
- Activités utilisateur anormales dans Office Exchange
- Tentative de force brute de l’ordinateur
- Tentative de force brute du compte d’utilisateur
- Tentative de force brute du compte d’utilisateur par type de connexion
- Tentative de force brute du compte d’utilisateur par raison d’échec
- Détecter le comportement de détection de la balise réseau générée par l’ordinateur
- Algorithme de génération de domaine (DGA) sur les domaines DNS
- Téléchargements excessifs via Palo Alto GlobalProtect
- Chargements excessifs via Palo Alto GlobalProtect
- Algorithme de génération de domaine potentiel (DGA) sur les domaines DNS de niveau suivant
- Volume suspect d’appels d’API AWS à partir d’une adresse IP source non AWS
- Volume suspect d’appels d’API d’écriture AWS à partir d’un compte d’utilisateur
- Volume suspect de connexions à l’ordinateur
- Volume suspect de connexions à l’ordinateur avec un jeton élevé
- Volume suspect de connexions au compte d’utilisateur
- Volume suspect de connexions au compte d’utilisateur par types d’ouverture de session
- Volume suspect de connexions au compte d’utilisateur avec un jeton élevé
Opérations Azure anormales
Description: Cet algorithme de détection collecte 21 jours de données sur les opérations Azure regroupées par l’utilisateur pour entraîner ce modèle ML. L’algorithme génère ensuite des anomalies dans le cas des utilisateurs qui ont effectué des séquences d’opérations rares dans leurs espaces de travail. Le modèle ML formé évalue les opérations effectuées par l’utilisateur et considère comme anormales celles dont le score est supérieur au seuil défini.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux d’activité Azure |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1190 - Exploiter une application publique |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Exécution de code anormale
Description: Les attaquants peuvent abuser des commandes et des interpréteurs de scripts pour exécuter des commandes, des scripts ou des fichiers binaires. Ces interfaces et langages offrent des moyens d’interagir avec des systèmes informatiques et sont une fonctionnalité courante sur de nombreuses plateformes différentes.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux d’activité Azure |
| Tactiques MITRE ATT&CK : | Execution |
| Techniques MITRE ATT&CK : | T1059 - Interpréteur de commandes et de scripts |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Création anormale d’un compte local
Description: Cet algorithme détecte la création anormale de comptes locaux sur les systèmes Windows. Les attaquants peuvent créer des comptes locaux pour maintenir l’accès aux systèmes ciblés. Cet algorithme analyse l’activité de création de compte local au cours des 14 derniers jours par les utilisateurs. Il recherche une activité similaire le jour actuel de la part des utilisateurs qui n’ont pas été précédemment vus dans l’activité historique. Vous pouvez spécifier une liste verte pour filtrer les utilisateurs connus à partir du déclenchement de cette anomalie.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Persistence |
| Techniques MITRE ATT&CK : | T1136 - Créer un compte |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Activités utilisateur anormales dans Office Exchange
Description: Ce modèle Machine Learning regroupe les journaux Office Exchange par utilisateur dans des compartiments horaires. Nous définissons une heure comme une session. Le modèle est entraîné sur les 7 jours précédents de comportement sur tous les utilisateurs réguliers (non administrateurs). Il indique des sessions Office Exchange d’utilisateur anormales au cours du dernier jour.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | journal d’activité Office (Exchange) |
| Tactiques MITRE ATT&CK : | Persistence Collection |
| Techniques MITRE ATT&CK : |
Collection: T1114 - Collecte d’e-mails T1213 - Données provenant de référentiels d’informations Persistence: T1098 - Manipulation de compte T1136 - Créer un compte T1137 - Démarrage de l’application Office T1505 - Composant logiciel serveur |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Tentative de force brute de l’ordinateur
Description: Cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par ordinateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès aux informations d’identification |
| Techniques MITRE ATT&CK : | T1110 - Force brute |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Tentative de force brute du compte d’utilisateur
Description: Cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par compte d’utilisateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès aux informations d’identification |
| Techniques MITRE ATT&CK : | T1110 - Force brute |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Tentative de force brute du compte d’utilisateur par type de connexion
Description: Cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par compte d’utilisateur par type d’ouverture de session au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès aux informations d’identification |
| Techniques MITRE ATT&CK : | T1110 - Force brute |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Tentative de force brute du compte d’utilisateur par motif de défaillance
Description: Cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par compte d’utilisateur par raison d’échec au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès aux informations d’identification |
| Techniques MITRE ATT&CK : | T1110 - Force brute |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Détecter le comportement de balisage réseau généré par l’ordinateur
Description: Cet algorithme identifie les modèles de liaison de trafic réseau à partir des journaux de connexion de trafic réseau en fonction des modèles delta de temps récurrents. Toute connexion réseau vers des réseaux publics non approuvés à différents moments répétitifs est une indication des tentatives de rappel de programmes malveillants ou d’exfiltration de données. L’algorithme calcule la différence de temps entre les connexions réseau consécutives entre la même adresse IP source et l’adresse IP de destination, ainsi que le nombre de connexions dans une séquence de différence de temps entre les mêmes sources et destinations. Le pourcentage de balisage est calculé en tant que connexions dans la séquence de différences de temps par rapport au nombre total de connexions en un jour.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | CommonSecurityLog (PAN) |
| Tactiques MITRE ATT&CK : | Commande et contrôle |
| Techniques MITRE ATT&CK : | T1071 - Protocole de couche Application T1132 - Encodage des données T1001 - Obfuscation des données T1568 - Résolution dynamique T1573 - Canal chiffré T1008 - Canaux de secours T1104 - Canaux multiphases T1095 - Protocole de couche non-application T1571 - Port non standard T1572 - Tunneling de protocole T1090 - Proxy T1205 - Signalisation du trafic T1102 - Service web |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Algorithme de génération de domaine (DGA) sur des domaines DNS
Description: Ce modèle Machine Learning indique les domaines DGA potentiels du jour précédent dans les journaux DNS. L’algorithme s’applique aux enregistrements DNS qui sont résolus en adresses IPv4 et IPv6.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Événements DNS |
| Tactiques MITRE ATT&CK : | Commande et contrôle |
| Techniques MITRE ATT&CK : | T1568 - Résolution dynamique |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Téléchargements excessifs via Palo Alto GlobalProtect
Description: Cet algorithme détecte un volume inhabituellement élevé de téléchargement par compte d’utilisateur via la solution VPN Palo Alto. Le modèle est entraîné au cours des 14 derniers jours des journaux VPN. Il indique un volume anormalement élevé de téléchargements au cours de la dernière journée.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | CommonSecurityLog (VPN PAN) |
| Tactiques MITRE ATT&CK : | Exfiltration |
| Techniques MITRE ATT&CK : | T1030 - Limites de taille de transfert de données T1041 - Exfiltration sur le canal C2 T1011 - Exfiltration sur d’autres supports réseau T1567 - Exfiltration sur le service web T1029 - Transfert planifié T1537 - Transférer des données vers un compte cloud |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Chargements excessifs via Palo Alto GlobalProtect
Description: Cet algorithme détecte un volume inhabituellement élevé de chargement par compte d’utilisateur via la solution VPN Palo Alto. Le modèle est entraîné au cours des 14 derniers jours des journaux VPN. Il indique un volume anormalement élevé de chargements au cours de la dernière journée.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | CommonSecurityLog (VPN PAN) |
| Tactiques MITRE ATT&CK : | Exfiltration |
| Techniques MITRE ATT&CK : | T1030 - Limites de taille de transfert de données T1041 - Exfiltration sur le canal C2 T1011 - Exfiltration sur d’autres supports réseau T1567 - Exfiltration sur le service web T1029 - Transfert planifié T1537 - Transférer des données vers un compte cloud |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Algorithme de génération de domaine potentiel (DGA) sur des domaines DNS de niveau suivant
Description: Ce modèle Machine Learning indique les domaines de niveau suivant (troisième niveau et supérieur) des noms de domaine du dernier jour des journaux DNS inhabituels. Ils peuvent potentiellement être la sortie d’un algorithme de génération de domaine (DGA). L’anomalie s’applique aux enregistrements DNS qui sont résolus en adresses IPv4 et IPv6.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Événements DNS |
| Tactiques MITRE ATT&CK : | Commande et contrôle |
| Techniques MITRE ATT&CK : | T1568 - Résolution dynamique |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Volume suspect d’appels d’API AWS à partir d’une adresse IP de source non-AWS
Description: Cet algorithme détecte un volume inhabituel d’appels d’API AWS par compte d’utilisateur par espace de travail, à partir d’adresses IP sources en dehors des plages d’adresses IP sources d’AWS, au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents des événements de journal AWS CloudTrail par adresse IP source. Cette activité peut indiquer que le compte d’utilisateur est compromis.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux AWS CloudTrail |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Volume suspect d’appels d’API d’écriture AWS à partir d’un compte d’utilisateur
Description: Cet algorithme détecte un volume inhabituellement élevé d’appels d’API d’écriture AWS par compte d’utilisateur au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents des événements de journal AWS CloudTrail par compte d’utilisateur. Cette activité peut indiquer que le compte est compromis.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux AWS CloudTrail |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Volume suspect de connexions à l’ordinateur
Description: Cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) par ordinateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Volume suspect de connexions à l’ordinateur avec jeton avec élévation de privilèges
Description: Cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) avec des privilèges d’administration, par ordinateur, au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Volume suspect de connexions au compte d’utilisateur
Description: Cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) par compte d’utilisateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Volume suspect de connexions au compte d’utilisateur par types de connexions
Description: Cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) par compte d’utilisateur, par différents types d’ouverture de session, au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Volume suspect de connexions au compte d'utilisateur avec jeton avec élévation de privilèges
Description: Cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) avec des privilèges d’administration, par compte d’utilisateur, au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.
| Attribute | Value |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux de Sécurité Windows |
| Tactiques MITRE ATT&CK : | Accès initial |
| Techniques MITRE ATT&CK : | T1078 - Comptes valides |
Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut
Étapes suivantes
Découvrez les anomalies générées par le Machine Learning dans Microsoft Sentinel.
Découvrez comment utiliser des règles d’anomalie.
Examinez les incidents avec Microsoft Sentinel.