הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
Microsoft Sentinel מזהה אנומליות על-ידי ניתוח אופן הפעולה של משתמשים בסביבה לאורך זמן ובונים תוכנית בסיסית של פעילות חוקית. לאחר יצירת התוכנית הבסיסית, כל פעילות מחוץ לפרמטרים הרגילים נחשבת לנורמה ולכן היא חשודה.
Microsoft Sentinel משתמש בשני מודלים כדי ליצור תוכניות בסיסיות ולאתר חריגות.
מאמר זה מפרט את חריגות השגיאה Microsoft Sentinel באמצעות מודלים שונים של למידת מכונה.
בטבלה חריגות :
- העמודה
rulenameמציינת את טבלת Sentinel המשמשת לזיהוי כל חריגה. - העמודה
scoreמכילה ערך מספרי בין 0 ל- 1, אשר מבטל את מידת הסטיה מההתפקוד הצפוי. ציונים גבוהים יותר מציינים סטייה גדולה יותר מהשורה הבסיסית ועשויים להיות חריגות אמיתיים יותר. ציונים הנמוכים יותר עשויים עדיין להיות חריגים, אך סביר להניח שהם יהיו משמעותיים או שניתן יהיה לפעול על פיהן.
הערה
זיהוי חריגות אלה הופסקו החל מ- 8 במרץ 2026, עקב איכות נמוכה של תוצאות:
- אלגוריתם יצירת תחום (DGA) בתחום DNS
- אלגוריתם פוטנציאלי של יצירת תחום (DGA) בתחום DNS ברמה הבאה
השוואה בין אנומליות מבוססות UEBA ולמידת מכונה
אנומליות המבוססות על UEBA ולמידת מכונה (ML) הן גישות משלימות לזיהוי חריגות. שתיהן מאכלסות Anomalies את הטבלה אך משרתות מטרות שונות:
| היבט | אנומליות של UEBA | כללי זיהוי חריגות של למידת מכונה |
|---|---|---|
| המוקד | מי מתנהג באופן יוצא דופן | איזו פעילות חריגה |
| גישה לזיהוי | ביצועי בסיס התנהגותיים המתמקדים בישות בהשוואה לפעילות היסטורית, אופן פעולה של עמיתים ודפוסים כלל-ארגוניים | תבניות כללים הניתנות להתאמה אישית באמצעות מודלים סטטיסטיים ומודלים של למידת מכונה המבוססים על דפוסי נתונים ספציפיים |
| מקור בסיסי | ההיסטוריה, קבוצת העמיתים והארגון של כל ישות | תקופת הדרכה (בדרך כלל 7-21 יום) בסוגי אירועים ספציפיים |
| התאמה אישית | זמין/לא זמין באמצעות הגדרות UEBA | ערכי סף ופרמטרים של Tunable באמצעות ממשק המשתמש של כלל הניתוח |
| דוגמאות | אנומציה כניסה, יצירת חשבון אנומציה, שינוי הרשאה חריג | ניסיון כוח תקיפה, הורדות מוגזמות, משואות רשת |
לקבלת מידע נוסף, ראה:
אנומליות של UEBA
Sentinel UEBA מזהה אנומליות בהתבסס על ביצועי בסיס דינאמיים שנוצרו עבור כל ישות בקלטי נתונים שונים. אופן הפעולה הבסיסי של כל ישות מוגדר בהתאם לפעילויות ההיסטוריות שלה, לאלה של העמיתים שלה ולאלה של הארגון כולו. אנומליות יכולות להיות מופעלות על-ידי המתאם של תכונות שונות, כגון סוג פעולה, מיקום גיאוגרפי, מכשיר, משאב, ספק שירותי אינטרנט ועוד.
עליך להפוך זיהוי UEBA וסמליות לזמין בסביבת העבודה של Sentinel כדי לזהות חריגות ב- UEBA.
UEBA מזהה אנומליות בהתבסס על כללי חריגה אלה:
- UEBA Anomalous Account Access Removal
- יצירת חשבון חריגה של UEBA
- מחיקת חשבון חריגה של UEBA
- UEBA Anomalous Account Manipulation
- פעילות אנומציה של UEBA ביומני ביקורת של GCP
- פעילות אנומליה ב- UEBA Okta_CL
- אימות אנומציה של UEBA
- ביצוע קוד חריג של UEBA
- UEBA Anomalous Data Destruction
- UEBA Anomalous Data Transfer from Amazon S3
- שינוי מנגנון הגנתי אנו חריג של UEBA
- כניסה נכשלה של UEBA Anomalous
- פעילות זהות מאוחדת או SAML של UEBA ב- AwsCloudTrail
- שינוי הרשאה של IAM ב- AwsCloudTrail ב- UEBA Anomalous
- כניסה חריגה של UEBA ב- AwsCloudTrail
- כשלי MFA חריגים ב- UEBA Okta_CL
- איפוס סיסמה חריג של UEBA
- הרשאה חריגה של UEBA הוענקה
- UEBA Anomalous Secret או KMS Key Access ב- AwsCloudTrail
- כניסה חריגה של UEBA
- UEBA Anomalous STS AssumeRole Behavior ב- AwsCloudTrail
Sentinel בנתונים מועשרים מהטבלה BehaviorAnalytics כדי לזהות חריגות ב- UEBA עם ניקוד ביטחון ספציפי לדייר ולמקור שלך.
UEBA Anomalous Account Access Removal
תיאור: תוקף עשוי להפסיק את הזמינות של משאבי מערכת ורשת על-ידי חסימת גישה בחשבונות המשמשים משתמשים לגיטימיים. התוקף עלול למחוק חשבון, לנעול אותו או לטפל בו (לדוגמה, על-ידי שינוי האישורים שלו) כדי להסיר גישה אליו.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | Azure יומני פעילות |
| טקטיקות MITRE ATT&CK: | השפעה |
| טכניקות MITRE ATT&CK: | T1531 - הסרת גישה לחשבון |
| פעילות: | Microsoft.Authorization/roleAssignments/delete יציאה |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
יצירת חשבון חריגה של UEBA
תיאור: יריבים עשויים ליצור חשבון כדי לשמור על גישה למערכות ייעודיות. עם רמת גישה מספקת, ניתן להשתמש ביצירת חשבונות אלה כדי ליצור גישה משנית עם אישורים ללא צורך בפריסה של כלי גישה מרחוק מתמידים במערכת.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | Microsoft Entra יומני ביקורת |
| טקטיקות MITRE ATT&CK: | התמדה |
| טכניקות MITRE ATT&CK: | T1136 - יצירת חשבון |
| MITRE ATT&CK sub-techniques: | חשבון ענן |
| פעילות: | מדריך כתובות מרכזי/משתמשניהול/הוספת משתמש |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
מחיקת חשבון חריגה של UEBA
תיאור: תואר הפועלים עשויים להפריע לזמינותם של משאבי המערכת והרשת על-ידי עיכוב הגישה לחשבון שמשתמשים לגיטימיים משתמשים בו. ייתכן שהחשבונות יימחקו, יינעלו או ישתנו (לדוגמה: אישורים שהשתנו) כדי להסיר גישה לחשבון.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | Microsoft Entra יומני ביקורת |
| טקטיקות MITRE ATT&CK: | השפעה |
| טכניקות MITRE ATT&CK: | T1531 - הסרת גישה לחשבון |
| פעילות: | ספריית ליבה/משתמשניהול/מחיקת משתמש ספריית ליבה/מכשיר/מחיקת משתמש ספריית ליבה/משתמשניהול/מחיקת משתמש |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
UEBA Anomalous Account Manipulation
תיאור: יריבים עשויים לטפל בחשבונות כדי לשמור על גישה למערכות יעד. פעולות אלה כוללות הוספת חשבונות חדשים לקבוצות עם הרשאות גבוהה. Dragonfly 2.0, לדוגמה, נוספו חשבונות חדשים שנוצרו לקבוצת מנהלי המערכת כדי לשמור על גישה מוגברת. השאילתה שלהלן יוצרת פלט של כל משתמשי high-Blast Radius שמבצעים "עדכון משתמש" (שינוי שם) לתפקיד בעל הרשאות, או משתמשים ששיניו את המשתמשים בפעם הראשונה.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | Microsoft Entra יומני ביקורת |
| טקטיקות MITRE ATT&CK: | התמדה |
| טכניקות MITRE ATT&CK: | T1098 - טיפול בחשבון |
| פעילות: | מדריך כתובות מרכזי/משתמשניהול/עדכון משתמש |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
פעילות אנומציה של UEBA ביומני ביקורת של GCP
תיאור: ניסיונות גישה שנכשלו למשאבי Google Cloud Platform (GCP) בהתבסס על ערכים הקשורים ל- IAM ביומני ביקורת של GCP. כשלים אלה עשויים לשקף הרשאות שתצורתן נקבעה באופן שגוי, ניסיונות לגשת לשירותים לא מורשים או אופני פעולה של תוקפים בשלב מוקדם, כגון תביעת הרשאות או התמדה באמצעות חשבונות שירות.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | יומני ביקורת של GCP |
| טקטיקות MITRE ATT&CK: | גילוי |
| טכניקות MITRE ATT&CK: | T1087 – גילוי חשבון, T1069 – גילוי קבוצות הרשאות |
| פעילות: | iam.googleapis.com |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
פעילות אנומליה ב- UEBA Okta_CL
תיאור: פעולות אימות בלתי צפויות או שינויי תצורה הקשורים לאבטחה ב- Okta, כולל שינויים בכללי כניסה, אכיפה של אימות רב גורמי (MFA) או הרשאות ניהול. פעילות כזו עשויה להצביע על ניסיונות לשנות פקדי אבטחת זהות או לשמור על הגישה באמצעות שינויים הרשאות.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | יומני ענן של Okta |
| טקטיקות MITRE ATT&CK: | התמדה, הסלמת הרשאה |
| טכניקות MITRE ATT&CK: | T1098 - טיפול בחשבון, T1556 - שינוי תהליך אימות |
| פעילות: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
אימות אנומציה של UEBA
תיאור: פעילות אימות חריגה על-פני אותות Microsoft Defender עבור נקודת קצה ו- Microsoft Entra ID, כולל כניסות למכשיר, כניסות לזהות מנוהלת ואימותים ראשיים של שירות Microsoft Entra ID. אנומליות אלה עשויות להציע שימוש לרעה באישורים, שימוש לרעה זהות שאינה אנושית או ניסיונות תנועה רוחביים מחוץ לדפוסי גישה אופייניים.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | Microsoft Defender עבור נקודת קצה, Microsoft Entra ID |
| טקטיקות MITRE ATT&CK: | גישה ראשונית |
| טכניקות MITRE ATT&CK: | T1078 - חשבונות חוקיים |
| פעילות: |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
ביצוע קוד חריג של UEBA
תיאור: יריבים עשויים להשתמש בפקודות ובמתורגשים של קבצי Script כדי לבצע פקודות, קבצי Script או קבצים בינאריים. ממשקים ושפות אלה מספקים דרכים לקיים אינטראקציה עם מערכות מחשבים, והן תכונה משותפת בפלטפורמות רבות ושונות.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | Azure יומני פעילות |
| טקטיקות MITRE ATT&CK: | ביצוע |
| טכניקות MITRE ATT&CK: | T1059 - מתרגם פקודות ו- Scripting |
| MITRE ATT&CK sub-techniques: | PowerShell |
| פעילות: | Microsoft.Compute/virtualMachines/runCommand/action |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
UEBA Anomalous Data Destruction
תיאור: יריבים עשויים להשמיד נתונים וקבצים במערכות ספציפיות או במספרים גדולים ברשת כדי להפריע לזמינות למערכות, לשירותים ולמקורות רשת. סביר להניח שהריסת נתונים תעובד באופן בלתי ניתן לשחזור על-ידי טכניקות משפטיות באמצעות החלפת קבצים או נתונים בכוננים מקומיים ומרוחקת.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | Azure יומני פעילות |
| טקטיקות MITRE ATT&CK: | השפעה |
| טכניקות MITRE ATT&CK: | T1485 - הרס נתונים |
| פעילות: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
UEBA Anomalous Data Transfer from Amazon S3
תיאור: סטיות בגישה לנתונים או בדפוסי הורדה מ- Amazon Simple Storage Service (S3). הסטייה נקבעת באמצעות ביצועי בסיס התנהגותיים עבור כל משתמש, שירות ומשאב, והשוואה בין אמצעי האחסון של העברת הנתונים, התדירות והאובייקטים שהגישה אליהם נספרת מול נורמסים היסטוריים. סטיות משמעותיות - כגון גישה בצובר בפעם הראשונה, אחזורי נתונים גדולים מהותיים או פעילות ממיקומים או יישומים חדשים - עשויים להצביע על חריגה אפשרית של נתונים, הפרות מדיניות או שימוש לרעה באישורים שנחשף לסכנה.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | יומני CloudTrail ב- AWS |
| טקטיקות MITRE ATT&CK: | הרחבה |
| טכניקות MITRE ATT&CK: | T1567 - סינון דרך שירות אינטרנט |
| פעילות: | PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
שינוי מנגנון הגנתי אנו חריג של UEBA
תיאור: יריבים עשויים להשבית כלי אבטחה כדי להימנע מזיהוי אפשרי של הכלים והפעילויות שלהם.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | Azure יומני פעילות |
| טקטיקות MITRE ATT&CK: | התחמקות הגנה |
| טכניקות MITRE ATT&CK: | T1562 - ליקויי הגנה |
| MITRE ATT&CK sub-techniques: | הפיכת כלים ללא זמינים או שינוי כלים הפוך ללא זמין או שנה חומת אש בענן |
| פעילות: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyהקצאות/מחיקה Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
כניסה נכשלה של UEBA Anomalous
תיאור: יריבים ללא ידע קודם באישורים לגיטימיים בתוך המערכת או הסביבה עשויים לנחש סיסמאות כדי לנסות לגשת לחשבון.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | Microsoft Entra יומני כניסה אבטחת Windows יומני רישום |
| טקטיקות MITRE ATT&CK: | גישה לאישורים |
| טכניקות MITRE ATT&CK: | T1110 - כוח בות |
| פעילות: |
Microsoft Entra ID: פעילות כניסה אבטחת Windows: הכניסה נכשלה (מזהה אירוע 4625) |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
פעילות זהות מאוחדת או SAML של UEBA ב- AwsCloudTrail
תיאור: פעילות חריגה על-ידי זהויות מאוחדות או מבוססות-שפת סימון של קביעת אבטחה (SAML) הכוללות פעולות בפעם הראשונה, מיקומים גיאוגרפיים לא מוכרים או שיחות API מוגזמות. אנומליות כאלה יכולות להצביע על חטיפת הפעלה או שימוש לרעה באישורים מאוחדים.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | יומני CloudTrail ב- AWS |
| טקטיקות MITRE ATT&CK: | גישה ראשונית, התמדה |
| טכניקות MITRE ATT&CK: | T1078 - חשבונות חוקיים, T1550 - שימוש בחומר אימות חלופי |
| פעילות: | UserAuthentication (EXTERNAL_IDP) |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
שינוי הרשאה של IAM ב- AwsCloudTrail ב- UEBA Anomalous
תיאור: סטיות באופן הפעולה הניהולי של ניהול זהויות וגישה (IAM), כגון יצירה בפעם הראשונה, שינוי או מחיקה של תפקידים, משתמשים וקבוצות, או קבצים מצורפים של פריטי מדיניות מוטבעים חדשים או מנוהלים חדשים. מצב זה עשוי להצביע על הסלמת הרשאות או שימוש לרעה במדיניות.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | יומני CloudTrail ב- AWS |
| טקטיקות MITRE ATT&CK: | הסלמת הרשאות, התמדה |
| טכניקות MITRE ATT&CK: | T1136 - יצירת חשבון, T1098 - טיפול בחשבון |
| פעילות: | פעולות יצירה, הוספה, צירוף, מחיקה, ביטול הפעלה, הצבה ועדכון iam.amazonaws.com, sso-directory.amazonaws.com |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
כניסה חריגה של UEBA ב- AwsCloudTrail
תיאור: פעילות כניסה חריגה בשירותים של Amazon Web Services (AWS) המבוססים על אירועי CloudTrail כגון ConsoleLogin ותכונות אחרות הקשורות לאימות. אנומליות נקבעות על-ידי סטיות באופן הפעולה של המשתמש בהתבסס על תכונות כגון מיקום גיאוגרפי, טביעת אצבע של מכשיר, ISP ושיטה לגישה, ועשויות להצביע על ניסיונות גישה לא מורשים או הפרות מדיניות פוטנציאליות.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | יומני CloudTrail ב- AWS |
| טקטיקות MITRE ATT&CK: | גישה ראשונית |
| טכניקות MITRE ATT&CK: | T1078 - חשבונות חוקיים |
| פעילות: | מסוףלוגין |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
כשלי MFA חריגים ב- UEBA Okta_CL
תיאור: דפוסים חריגים של ניסיונות MFA שנכשלו ב- Okta. אנומליות אלה עשויות להי כתוצאה משימוש לרעה בחשבון, ממאזוק אישורים או משימוש לא נכון במנגנונים מהימנים במכשירים, ולרוב משקפות אופני פעולה של יריבים בשלבים המוקדמים, כגון בדיקת אישורים גנובים או הגנה על זהות תדירות.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | יומני ענן של Okta |
| טקטיקות MITRE ATT&CK: | התמדה, הסלמת הרשאה |
| טכניקות MITRE ATT&CK: | T1078 - חשבונות חוקיים, T1556 - שינוי תהליך אימות |
| פעילות: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
איפוס סיסמה חריג של UEBA
תיאור: תואר הפועלים עשויים להפריע לזמינותם של משאבי המערכת והרשת על-ידי עיכוב הגישה לחשבון שמשתמשים לגיטימיים משתמשים בו. ייתכן שהחשבונות יימחקו, יינעלו או ישתנו (לדוגמה: אישורים שהשתנו) כדי להסיר גישה לחשבון.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | Microsoft Entra יומני ביקורת |
| טקטיקות MITRE ATT&CK: | השפעה |
| טכניקות MITRE ATT&CK: | T1531 - הסרת גישה לחשבון |
| פעילות: | ספריית הליבה/UserManagement/איפוס סיסמת משתמש |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
הרשאה חריגה של UEBA הוענקה
תיאור: Adversaries may add adversary-controlled credentials for Azure Service Principals in addition to existing legitimate credentials to maintain persistent access to victim Azure accounts.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | Microsoft Entra יומני ביקורת |
| טקטיקות MITRE ATT&CK: | התמדה |
| טכניקות MITRE ATT&CK: | T1098 - טיפול בחשבון |
| MITRE ATT&CK sub-techniques: | אישורים Azure של שירות נוסף |
| פעילות: | הקצאת חשבונות/ניהול יישומים/הוספת הקצאת תפקיד יישום למנהל שירות |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
UEBA Anomalous Secret או KMS Key Access ב- AwsCloudTrail
תיאור: גישה חשודה למנהל סודות AWS או למשאבי שירות ניהול מפתחות (KMS). גישה בפעם הראשונה או תדירות גישה גבוהה במיוחד עשויות להצביע על ניסיונות קציר אישורים או סינון נתונים.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | יומני CloudTrail ב- AWS |
| טקטיקות MITRE ATT&CK: | גישת אישורים, אוסף |
| טכניקות MITRE ATT&CK: | T1555 - אישורים ממאגר סיסמאות |
| פעילות: | קבל את ה-SecretValue BatchGetSecretValue מקשי רשימה שליצי רשימה PutSecretValue צור סקארט עדכון סקארט מחק סקארט מפתח יצירה מדיניות ה- PutKey |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
כניסה חריגה של UEBA
תיאור: יריבים עשויים לגנוב את האישורים של חשבון משתמש או שירות ספציפי באמצעות טכניקות של גישת אישור או ללכוד אישורים מוקדם יותר בתהליך הסקירה מחדש שלהם באמצעות הנדסה חברתית כדי להשיג התמדה.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | Microsoft Entra יומני כניסה אבטחת Windows יומני רישום |
| טקטיקות MITRE ATT&CK: | התמדה |
| טכניקות MITRE ATT&CK: | T1078 - חשבונות חוקיים |
| פעילות: |
Microsoft Entra ID: פעילות כניסה אבטחת Windows: כניסה מוצלחת (מזהה אירוע 4624) |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
UEBA Anomalous STS AssumeRole Behavior ב- AwsCloudTrail
תיאור: שימוש חריג בפעולות AssumeRole של שירות אסימוני האבטחה של AWS (STS), במיוחד מעורבות בתפקידים עם הרשאות או גישה בין חשבונות. סטיות מהשימוש הטיפוסי עשויות להצביע על הסלמת הרשאות או על פשרת זהות.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | UEBA |
| מקורות נתונים: | יומני CloudTrail ב- AWS |
| טקטיקות MITRE ATT&CK: | הסלמת פריבילגיה, התחמקות הגנה |
| טכניקות MITRE ATT&CK: | T1548 - מנגנון בקרת העלאת רמת שימוש לרעה, T1078 - חשבונות חוקיים |
| פעילות: | ערך ההנחה AssumeRoleWithSAML AssumeRoleWithWebIdentity נקודה על ההנחה |
חזרה לרשימת חריגות ב- | UEBAחזור לראש הדף
אנומליות המבוססות על למידת מכונה
Microsoft Sentinel הניתנות להתאמה אישית, אנומליות המבוססות על למידת מכונה יכולות לזהות התנהגות חריגה עם תבניות כלל ניתוח שניתן להציב כדי לעבוד ישירות מהתיבה. בעוד שאנומליות אינן מצביעות בהכרח על התנהגות זדונית או אפילו חשודה בעצמם, ניתן להשתמש אותן כדי לשפר את הזיהויים, החקירות והצייד האיומים.
- פעולות Azure חריגות
- ביצוע קוד חריג
- יצירת חשבון מקומי חריגה
- פעילויות משתמש חריגות ב- Office Exchange
- ניסיון כוח בריון מחשב
- כוח בריון של חשבון משתמש ניסיון
- ניסיון לכפות כפייה של חשבון משתמש לכל סוג כניסה
- ניסיון לכפות בריון של חשבון משתמש לפי סיבה לכשל
- זהה אופן פעולה של משואת רשת שנוצרה על-ידי מחשב
- אלגוריתם יצירת תחום (DGA) בתחום DNS
- הורדות מופרזות דרך פאלו אלטו GlobalProtect
- העלאות מופרזות דרך פאלו אלטו GlobalProtect
- אלגוריתם פוטנציאלי של יצירת תחום (DGA) בתחום DNS ברמה הבאה
- נפח חשוד של קריאות API של AWS מכתובת IP של מקור שאינו AWS
- נפח חשוד של שיחות API של כתיבת AWS מחשבון משתמש
- נפח כניסות חשוד למחשב
- נפח כניסות חשוד למחשב עם אסימון עם הרשאות מלאות
- נפח כניסות חשוד לחשבון משתמש
- נפח כניסות חשוד לחשבון משתמש לפי סוגי כניסה
- נפח כניסות חשוד לחשבון משתמש עם אסימון עם הרשאות מלאות
פעולות Azure חריגות
תיאור: אלגוריתם זיהוי זה אוסף נתונים בשווי של 21 יום בפעולות Azure על-ידי המשתמש לתרגל מודל למידת מכונה זה. לאחר מכן האלגוריתם יוצר חריגות במקרה של משתמשים שביצעו רצפי פעולות שאינם נדירים בסביבות העבודה שלהם. מודל למידת מכונה המיומן מציונים את הפעולות שבוצעו על-ידי המשתמש וחשב חריג לאלה שהציון שלהם גדול מהסף שהוגדר.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | Azure יומני פעילות |
| טקטיקות MITRE ATT&CK: | גישה ראשונית |
| טכניקות MITRE ATT&CK: | T1190 - ניצול Public-Facing משתמש |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
ביצוע קוד חריג
תיאור: תוקפים עשויים להשתמש בפקודות ובמתרגשים של קבצי Script כדי לבצע פקודות, קבצי Script או קבצים בינאריים. ממשקים ושפות אלה מספקים דרכים לקיים אינטראקציה עם מערכות מחשבים, והן תכונה משותפת בפלטפורמות רבות ושונות.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | Azure יומני פעילות |
| טקטיקות MITRE ATT&CK: | ביצוע |
| טכניקות MITRE ATT&CK: | T1059 - מתרגם פקודות ו- Scripting |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
יצירת חשבון מקומי חריגה
תיאור: אלגוריתם זה מזהה יצירת חשבון מקומי חריג במערכות Windows. תוקפים עשויים ליצור חשבונות מקומיים כדי לשמור על גישה למערכות ייעודיות. אלגוריתם זה מנתח את פעילות יצירת החשבון המקומי במהלך 14 הימים הקודמים על-ידי המשתמשים. הוא מחפש פעילות דומה ביום הנוכחי ממשתמשים שלא ראו בעבר בפעילות היסטורית. באפשרותך לציין רשימת התרה כדי לסנן משתמשים ידועים מהפעלת חריגה זו.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | אבטחת Windows יומני רישום |
| טקטיקות MITRE ATT&CK: | התמדה |
| טכניקות MITRE ATT&CK: | T1136 - יצירת חשבון |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
פעילויות משתמש חריגות ב- Office Exchange
תיאור: מודל זה של למידת מכונה מקבץ את יומני הרישום של Office Exchange לפי משתמש למיכלים שעתיים. אנו מגדירים שעה אחת כהפעלה. המודל מאומן ב- 7 הימים הקודמים של אופן הפעולה בכל המשתמשים הרגילים (שאינם מנהלי מערכת). הוא מציין הפעלות חריגות של Office Exchange של המשתמשים ביום האחרון.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | יומן פעילות של Office (Exchange) |
| טקטיקות MITRE ATT&CK: | התמדה אוסף |
| טכניקות MITRE ATT&CK: |
אוסף: T1114 - אוסף דואר אלקטרוני T1213 - נתונים מתוך מאגרי מידע התמדה: T1098 - טיפול בחשבון T1136 - יצירת חשבון T1137 - אתחול יישום Office T1505 - רכיב תוכנת שרת |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
ניסיון כוח בריון מחשב
תיאור: אלגוריתם זה מזהה נפח גבוה מהותי של ניסיונות כניסה כושלים (מזהה אירוע אבטחה 4625) לכל מחשב במהלך היום האחרון. המודל מאומן ב- 21 הימים הקודמים של יומני אירועי האבטחה של Windows.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | אבטחת Windows יומני רישום |
| טקטיקות MITRE ATT&CK: | גישה לאישורים |
| טכניקות MITRE ATT&CK: | T1110 - כוח בות |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
כוח בריון של חשבון משתמש ניסיון
תיאור: אלגוריתם זה מזהה נפח גבוה מהותי של ניסיונות כניסה כושלים (מזהה אירוע אבטחה 4625) לכל חשבון משתמש במהלך היום האחרון. המודל מאומן ב- 21 הימים הקודמים של יומני אירועי האבטחה של Windows.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | אבטחת Windows יומני רישום |
| טקטיקות MITRE ATT&CK: | גישה לאישורים |
| טכניקות MITRE ATT&CK: | T1110 - כוח בות |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
ניסיון לכפות כפייה של חשבון משתמש לכל סוג כניסה
תיאור: אלגוריתם זה מזהה נפח גבוה מהותי של ניסיונות כניסה כושלים (מזהה אירוע אבטחה 4625) לכל חשבון משתמש לכל סוג כניסה במהלך היום האחרון. המודל מאומן ב- 21 הימים הקודמים של יומני אירועי האבטחה של Windows.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | אבטחת Windows יומני רישום |
| טקטיקות MITRE ATT&CK: | גישה לאישורים |
| טכניקות MITRE ATT&CK: | T1110 - כוח בות |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
ניסיון לכפות בריון של חשבון משתמש לפי סיבה לכשל
תיאור: אלגוריתם זה מזהה נפח גבוה מהותי של ניסיונות כניסה כושלים (מזהה אירוע אבטחה 4625) לכל חשבון משתמש לכל כשלון במהלך היום האחרון. המודל מאומן ב- 21 הימים הקודמים של יומני אירועי האבטחה של Windows.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | אבטחת Windows יומני רישום |
| טקטיקות MITRE ATT&CK: | גישה לאישורים |
| טכניקות MITRE ATT&CK: | T1110 - כוח בות |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
זהה אופן פעולה של משואת רשת שנוצרה על-ידי מחשב
תיאור: אלגוריתם זה מזהה דפוסי משואות מיומני חיבורי תעבורת רשת בהתבסס על דפוסי דלתא של זמן חוזר. כל חיבור רשת כלפי רשתות ציבוריות לא מהימנה בדלתאות זמן חוזרות הוא סימן לניסיונות ההתקשרות חזרה של תוכנות זדוניות או של ניסיונות הרחבה של נתונים. האלגוריתם יחשב את דלתא הזמן בין חיבורי רשת רצופים בין אותו IP של מקור לבין כתובת IP המהווה יעד, וכן את מספר החיבורים ברצף של דלתא-זמן בין אותם מקורות ויעדים. אחוז משואת מחושב כחיבורים ברצף דלתא-זמן מול מספר החיבורים הכולל ביום.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | CommonSecurityLog (PAN) |
| טקטיקות MITRE ATT&CK: | פקודה ופקד |
| טכניקות MITRE ATT&CK: | T1071 - פרוטוקול שכבת יישום T1132 - קידוד נתונים T1001 - מעורפלת נתונים T1568 - רזולוציה דינאמית T1573 - ערוץ מוצפן T1008 - ערוצי חזרה T1104 - ערוצים מרובי שלבים T1095 - פרוטוקול שכבת שאינו יישום T1571 - יציאה Standard אישית T1572 - מנהור פרוטוקולים T1090 - Proxy T1205 - איתות תנועה T1102 - שירות אינטרנט |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
אלגוריתם יצירת תחום (DGA) בתחום DNS
תיאור: מודל זה של למידת מכונה מציין תחומי DGA פוטנציאליים מהיום האחרון ביומני הרישום של DNS. האלגוריתם חל על רשומות DNS שמ לפענח כתובות IPv4 ו- IPv6.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | אירועי DNS |
| טקטיקות MITRE ATT&CK: | פקודה ופקד |
| טכניקות MITRE ATT&CK: | T1568 - רזולוציה דינאמית |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
הורדות מופרזות דרך פאלו אלטו GlobalProtect
תיאור: אלגוריתם זה מזהה כמות חריגה של הורדה לכל חשבון משתמש באמצעות פתרון ה- VPN של פאלו אלטו. המודל מאומן ב- 14 הימים הקודמים של יומני ה- VPN. הוא מציין נפח חריג של הורדות ביום האחרון.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | CommonSecurityLog (PAN VPN) |
| טקטיקות MITRE ATT&CK: | הרחבה |
| טכניקות MITRE ATT&CK: | T1030 - מגבלות גודל העברת נתונים T1041 - Exfiltration Over C2 Channel T1011 - סינון ברשת בינונית אחרת T1567 - סינון דרך שירות אינטרנט T1029 - העברה מתוזמנת T1537 - העברת נתונים לחשבון ענן |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
העלאות מופרזות דרך פאלו אלטו GlobalProtect
תיאור: אלגוריתם זה מזהה נפח העלאה גבוה במיוחד לכל חשבון משתמש באמצעות פתרון ה- VPN של פאלו אלטו. המודל מאומן ב- 14 הימים הקודמים של יומני ה- VPN. הוא מציין העלאה חריגה בנפח גבוה ביום האחרון.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | CommonSecurityLog (PAN VPN) |
| טקטיקות MITRE ATT&CK: | הרחבה |
| טכניקות MITRE ATT&CK: | T1030 - מגבלות גודל העברת נתונים T1041 - Exfiltration Over C2 Channel T1011 - סינון ברשת בינונית אחרת T1567 - סינון דרך שירות אינטרנט T1029 - העברה מתוזמנת T1537 - העברת נתונים לחשבון ענן |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
אלגוריתם פוטנציאלי של יצירת תחום (DGA) בתחום DNS ברמה הבאה
תיאור: מודל זה של למידת מכונה מציין את התחומים ברמה הבאה (ברמה השלישית העליונה) של שמות התחומים מהיום האחרון של יומני DNS שאינם שגרתיים. הם עשויים להיות הפלט של אלגוריתם יצירת תחום (DGA). הסטייה חלה על רשומות ה- DNS שזוהו לכתובות IPv4 ו- IPv6.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | אירועי DNS |
| טקטיקות MITRE ATT&CK: | פקודה ופקד |
| טכניקות MITRE ATT&CK: | T1568 - רזולוציה דינאמית |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
נפח חשוד של קריאות API של AWS מכתובת IP של מקור שאינו AWS
תיאור: אלגוריתם זה מזהה כמות חריגה של קריאות API של AWS לכל חשבון משתמש לכל סביבת עבודה, מכתובות IP של מקור מחוץ לטווחי ה- IP של המקור של AWS, במהלך היום האחרון. המודל מאומן ב- 21 הימים הקודמים של אירועי יומן רישום של CLOUDTrail ב- AWS לפי כתובת ה- IP של המקור. פעילות זו עשויה להצביע על כך שחשבון המשתמש נחשף לסכנה.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | יומני CloudTrail ב- AWS |
| טקטיקות MITRE ATT&CK: | גישה ראשונית |
| טכניקות MITRE ATT&CK: | T1078 - חשבונות חוקיים |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
נפח חשוד של שיחות API של כתיבת AWS מחשבון משתמש
תיאור: אלגוריתם זה מזהה כמות חריגה של קריאות API של כתיבת AWS לכל חשבון משתמש ביום האחרון. המודל מאומן ב- 21 הימים הקודמים של אירועי יומן רישום של CloudTrail ב- AWS לפי חשבון משתמש. פעילות זו עשויה להצביע על כך שהחשבון נחשף לסכנה.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | יומני CloudTrail ב- AWS |
| טקטיקות MITRE ATT&CK: | גישה ראשונית |
| טכניקות MITRE ATT&CK: | T1078 - חשבונות חוקיים |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
נפח כניסות חשוד למחשב
תיאור: אלגוריתם זה מזהה כמות חריגה של כניסות מוצלחות (מזהה אירוע אבטחה 4624) לכל מחשב במהלך היום האחרון. המודל מאומן ב- 21 הימים הקודמים של אבטחת Windows אירועים.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | אבטחת Windows יומני רישום |
| טקטיקות MITRE ATT&CK: | גישה ראשונית |
| טכניקות MITRE ATT&CK: | T1078 - חשבונות חוקיים |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
נפח כניסות חשוד למחשב עם אסימון עם הרשאות מלאות
תיאור: אלגוריתם זה מזהה כמות חריגה של כניסות מוצלחות (מזהה אירוע אבטחה 4624) עם הרשאות ניהול, לכל מחשב, ביום האחרון. המודל מאומן ב- 21 הימים הקודמים של אבטחת Windows אירועים.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | אבטחת Windows יומני רישום |
| טקטיקות MITRE ATT&CK: | גישה ראשונית |
| טכניקות MITRE ATT&CK: | T1078 - חשבונות חוקיים |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
נפח כניסות חשוד לחשבון משתמש
תיאור: אלגוריתם זה מזהה כמות חריגה של כניסות מוצלחות (מזהה אירוע אבטחה 4624) לכל חשבון משתמש במהלך היום האחרון. המודל מאומן ב- 21 הימים הקודמים של אבטחת Windows אירועים.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | אבטחת Windows יומני רישום |
| טקטיקות MITRE ATT&CK: | גישה ראשונית |
| טכניקות MITRE ATT&CK: | T1078 - חשבונות חוקיים |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
נפח כניסות חשוד לחשבון משתמש לפי סוגי כניסה
תיאור: אלגוריתם זה מזהה כמות חריגה של כניסות מוצלחות (מזהה אירוע אבטחה 4624) לכל חשבון משתמש, לפי סוגי כניסה שונים, במהלך היום האחרון. המודל מאומן ב- 21 הימים הקודמים של אבטחת Windows אירועים.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | אבטחת Windows יומני רישום |
| טקטיקות MITRE ATT&CK: | גישה ראשונית |
| טכניקות MITRE ATT&CK: | T1078 - חשבונות חוקיים |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
נפח כניסות חשוד לחשבון משתמש עם אסימון עם הרשאות מלאות
תיאור: אלגוריתם זה מזהה כמות חריגה של כניסות מוצלחות (מזהה אירוע אבטחה 4624) עם הרשאות ניהול, לכל חשבון משתמש, ביום האחרון. המודל מאומן ב- 21 הימים הקודמים של אבטחת Windows אירועים.
| תכונה | ערך: |
|---|---|
| סוג חריגה: | למידת מכונה הניתנת להתאמה אישית |
| מקורות נתונים: | אבטחת Windows יומני רישום |
| טקטיקות MITRE ATT&CK: | גישה ראשונית |
| טכניקות MITRE ATT&CK: | T1078 - חשבונות חוקיים |
חזרה לרשימת חריגות המבוססות על למידת מכונה | חזור לראש הדף
השלבים הבאים
- למד אודות חריגות שנוצרו על-ידי למידת מכונה Microsoft Sentinel.
- למד כיצד לעבוד עם כללי חריגה.
- בדוק את האירועים באמצעות Microsoft Sentinel.