A Microsoft Sentinel gépi tanulási motor által észlelt rendellenességek
Ez a cikk felsorolja azokat az anomáliákat, amelyeket a Microsoft Sentinel különböző gépi tanulási modellek használatával észlel.
Az anomáliadetektálás úgy működik, hogy elemzi a felhasználók viselkedését egy adott időszakban egy környezetben, és létrehoz egy alapkonfigurációt a jogos tevékenységhez. Az alapkonfiguráció megállapítása után a normál paramétereken kívüli tevékenységek rendellenesnek minősülnek, ezért gyanúsak.
A Microsoft Sentinel két különböző modellt használ az alapkonfigurációk létrehozásához és az anomáliák észleléséhez.
Feljegyzés
A következő anomáliadetektálások 2024. március 26-ától megszűnnek az alacsony minőségű eredmények miatt:
- Domain Reputation Palo Alto anomália
- Többrégiós bejelentkezések egyetlen nap alatt a Palo Alto GlobalProtecten keresztül
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform részeként érhető el a Microsoft Defender portálon. A Microsoft Sentinel a Defender portálon mostantól éles környezetben is támogatott. További információ: Microsoft Sentinel a Microsoft Defender portálon.
UEBA-anomáliák
A Sentinel UEBA az egyes entitásokhoz különböző adatbemeneteken létrehozott dinamikus alapkonfigurációkon alapuló anomáliákat észlel. Minden entitás alapkonfigurációs viselkedése a saját előzménytevékenységei, a társai és a szervezet egésze szerint van beállítva. Az anomáliákat különböző attribútumok, például művelettípus, földrajzi hely, eszköz, erőforrás, internetszolgáltató stb. korrelációja válthatja ki.
Engedélyeznie kell az UEBA funkciót az UEBA-rendellenességek észleléséhez.
- Rendellenes fiókhozzáférés eltávolítása
- Rendellenes fiók létrehozása
- Rendellenes fióktörlés
- Rendellenes fiókkezelés
- Rendellenes kódvégrehajtás (UEBA)
- Rendellenes adatmegsemmisítés
- Rendellenes védelmi mechanizmus módosítása
- Rendellenes sikertelen bejelentkezés
- Rendellenes jelszó-visszaállítás
- A rendellenes jogosultság megadása
- Rendellenes bejelentkezés
Rendellenes fiókhozzáférés eltávolítása
Leírás: A támadó megszakíthatja a rendszer- és hálózati erőforrások rendelkezésre állását azáltal, hogy letiltja a jogszerű felhasználók által használt fiókokhoz való hozzáférést. A támadó törölhet, zárolhat vagy módosíthat egy fiókot (például a hitelesítő adatai módosításával), hogy eltávolítsa a hozzáférését.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | UEBA |
| Adatforrások: | Azure-tevékenységnaplók |
| MITRE ATT&CK-taktikák: | Hatás |
| MITRE ATT&CK technikák: | T1531 – Fiókhozzáférés eltávolítása |
| Tevékenység: | Microsoft.Authorization/roleAssignments/delete Kijelentkezés |
Vissza az UEBA anomáliák listájához | Vissza a lap tetejére
Rendellenes fiók létrehozása
Leírás: A támadók létrehozhatnak egy fiókot a célzott rendszerekhez való hozzáférés fenntartásához. Megfelelő szintű hozzáféréssel az ilyen fiókok létrehozása másodlagos hitelesítő adatokhoz való hozzáférés létrehozásához használható anélkül, hogy állandó távelérési eszközöket kellene üzembe helyezni a rendszeren.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | UEBA |
| Adatforrások: | Microsoft Entra ellenőrzési naplók |
| MITRE ATT&CK-taktikák: | Kitartás |
| MITRE ATT&CK technikák: | T1136 – Fiók létrehozása |
| MITRE ATT&CK altechnikák: | Felhőbeli fiók |
| Tevékenység: | Core Directory/UserManagement/Felhasználó hozzáadása |
Vissza az UEBA anomáliák listájához | Vissza a lap tetejére
Rendellenes fióktörlés
Leírás: A támadók megszakíthatják a rendszer- és hálózati erőforrások rendelkezésre állását azáltal, hogy megakadályozzák a jogos felhasználók által használt fiókokhoz való hozzáférést. A fiókok törölhetők, zárolhatók vagy módosíthatók (például módosított hitelesítő adatok) a fiókokhoz való hozzáférés eltávolításához.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | UEBA |
| Adatforrások: | Microsoft Entra ellenőrzési naplók |
| MITRE ATT&CK-taktikák: | Hatás |
| MITRE ATT&CK technikák: | T1531 – Fiókhozzáférés eltávolítása |
| Tevékenység: | Core Directory/UserManagement/Felhasználó törlése Core Directory/Eszköz/Felhasználó törlése Core Directory/UserManagement/Felhasználó törlése |
Vissza az UEBA anomáliák listájához | Vissza a lap tetejére
Rendellenes fiókkezelés
Leírás: A támadók manipulálhatják a fiókokat a célrendszerekhez való hozzáférés fenntartása érdekében. Ezek a műveletek magukban foglalják az új fiókok magas jogosultságú csoportokhoz való hozzáadását. A Dragonfly 2.0 például újonnan létrehozott fiókokat adott hozzá a rendszergazdai csoporthoz, hogy emelt szintű hozzáférést tartson fenn. Az alábbi lekérdezés generálja a "Felhasználó frissítése" (névmódosítás) műveletet végző összes nagy szórású radius-felhasználó kimenetét emelt szintű szerepkörre, illetve azon felhasználók kimenetét, akik először módosították a felhasználókat.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | UEBA |
| Adatforrások: | Microsoft Entra ellenőrzési naplók |
| MITRE ATT&CK-taktikák: | Kitartás |
| MITRE ATT&CK technikák: | T1098 – Fiókkezelés |
| Tevékenység: | Core Directory/UserManagement/Felhasználó frissítése |
Vissza az UEBA anomáliák listájához | Vissza a lap tetejére
Rendellenes kódvégrehajtás (UEBA)
Leírás: A támadók visszaélhetnek a parancsok és szkriptek értelmezőivel parancsok, szkriptek vagy bináris fájlok végrehajtásához. Ezek az interfészek és nyelvek lehetővé teszik a számítógépes rendszerekkel való interakciót, és számos különböző platform közös funkciója.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | UEBA |
| Adatforrások: | Azure-tevékenységnaplók |
| MITRE ATT&CK-taktikák: | Futtatási |
| MITRE ATT&CK technikák: | T1059 – Parancs- és parancsfájl-értelmező |
| MITRE ATT&CK altechnikák: | PowerShell |
| Tevékenység: | Microsoft.Compute/virtualMachines/runCommand/action |
Vissza az UEBA anomáliák listájához | Vissza a lap tetejére
Rendellenes adatmegsemmisítés
Leírás: A támadók megsemmisíthetik az adatokat és a fájlokat adott rendszereken vagy nagy számban a hálózaton, hogy megszakítsák a rendszerek, szolgáltatások és hálózati erőforrások rendelkezésre állását. Az adatmegsemmisítés valószínűleg helyreállíthatatlanná teszi a tárolt adatokat törvényszéki technikákkal a fájlok vagy adatok felülírásával helyi és távoli meghajtókon.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | UEBA |
| Adatforrások: | Azure-tevékenységnaplók |
| MITRE ATT&CK-taktikák: | Hatás |
| MITRE ATT&CK technikák: | T1485 – Adatmegsemmisítés |
| Tevékenység: | Microsoft.Compute/disks/delete Microsoft.Compute/gallerys/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/rendszergazdák/törlés Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Vissza az UEBA anomáliák listájához | Vissza a lap tetejére
Rendellenes védelmi mechanizmus módosítása
Leírás: A támadók letilthatják a biztonsági eszközöket az eszközeik és tevékenységeik lehetséges észlelésének elkerülése érdekében.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | UEBA |
| Adatforrások: | Azure-tevékenységnaplók |
| MITRE ATT&CK-taktikák: | Védelmi kijátszás |
| MITRE ATT&CK technikák: | T1562 – Védelem romlása |
| MITRE ATT&CK altechnikák: | Eszközök letiltása vagy módosítása Felhőbeli tűzfal letiltása vagy módosítása |
| Tevékenység: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Vissza az UEBA anomáliák listájához | Vissza a lap tetejére
Rendellenes sikertelen bejelentkezés
Leírás: Azok a támadók, amelyek nem ismerik a rendszeren vagy a környezetben található hitelesítő adatok előzetes ismereteit, jelszavakat találhatnak a fiókokhoz való hozzáférés megkísérléséhez.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | UEBA |
| Adatforrások: | Microsoft Entra bejelentkezési naplók Windows biztonság naplók |
| MITRE ATT&CK-taktikák: | Hitelesítő adatok elérése |
| MITRE ATT&CK technikák: | T1110 - Találgatásos erő |
| Tevékenység: | Microsoft Entra ID: Bejelentkezési tevékenység Windows biztonság: Sikertelen bejelentkezés (eseményazonosító: 4625) |
Vissza az UEBA anomáliák listájához | Vissza a lap tetejére
Rendellenes jelszó-visszaállítás
Leírás: A támadók megszakíthatják a rendszer- és hálózati erőforrások rendelkezésre állását azáltal, hogy megakadályozzák a jogos felhasználók által használt fiókokhoz való hozzáférést. A fiókok törölhetők, zárolhatók vagy módosíthatók (például módosított hitelesítő adatok) a fiókokhoz való hozzáférés eltávolításához.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | UEBA |
| Adatforrások: | Microsoft Entra ellenőrzési naplók |
| MITRE ATT&CK-taktikák: | Hatás |
| MITRE ATT&CK technikák: | T1531 – Fiókhozzáférés eltávolítása |
| Tevékenység: | Core Directory/UserManagement/Felhasználói jelszó kérése |
Vissza az UEBA anomáliák listájához | Vissza a lap tetejére
A rendellenes jogosultság megadása
Leírás: A támadók a meglévő legitim hitelesítő adatok mellett az Azure-szolgáltatásnevekhez is hozzáadhatnak támadó által ellenőrzött hitelesítő adatokat, hogy fenntartsák az áldozati Azure-fiókokhoz való állandó hozzáférést.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | UEBA |
| Adatforrások: | Microsoft Entra ellenőrzési naplók |
| MITRE ATT&CK-taktikák: | Kitartás |
| MITRE ATT&CK technikák: | T1098 – Fiókkezelés |
| MITRE ATT&CK altechnikák: | További Azure-szolgáltatásnév hitelesítő adatai |
| Tevékenység: | Fiókkiépítés/Alkalmazáskezelés/Alkalmazásszerepkör-hozzárendelés hozzáadása a szolgáltatásnévhez |
Vissza az UEBA anomáliák listájához | Vissza a lap tetejére
Rendellenes bejelentkezés
Leírás: A támadók ellophatják egy adott felhasználó vagy szolgáltatásfiók hitelesítő adatait credential Access-technikákkal, vagy rögzíthetik a hitelesítő adatokat a felderítési folyamatuk korábbi szakaszában a közösségi tervezésen keresztül a perzisztencia megszerzéséhez.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | UEBA |
| Adatforrások: | Microsoft Entra bejelentkezési naplók Windows biztonság naplók |
| MITRE ATT&CK-taktikák: | Kitartás |
| MITRE ATT&CK technikák: | T1078 – Érvényes fiókok |
| Tevékenység: | Microsoft Entra ID: Bejelentkezési tevékenység Windows biztonság: Sikeres bejelentkezés (eseményazonosító: 4624) |
Vissza az UEBA anomáliák listájához | Vissza a lap tetejére
Gépi tanuláson alapuló anomáliák
A Microsoft Sentinel testre szabható, gépi tanuláson alapuló anomáliái az elemzési szabálysablonokkal azonosíthatják az anomáliák viselkedését, amelyek azonnal használhatóak. Bár az anomáliák önmagukban nem feltétlenül jeleznek rosszindulatú vagy akár gyanús viselkedést, az észlelések, a vizsgálatok és a fenyegetéskeresés javítására használhatók.
- Rendellenes Microsoft Entra bejelentkezési munkamenetek
- Rendellenes Azure-műveletek
- Rendellenes kódvégrehajtás
- Rendellenes helyi fiók létrehozása
- Rendellenes vizsgálati tevékenység
- Rendellenes felhasználói tevékenységek az Office Exchange-ben
- Rendellenes felhasználói/alkalmazástevékenységek az Azure auditnaplóiban
- Rendellenes W3CIIS-naplók tevékenysége
- Rendellenes webkérelem-tevékenység
- Számítógépes találgatásos kísérlet
- Kísérlet felhasználói fiók találgatásos kényszerítésére
- Megkísérlett felhasználói fiók találgatása bejelentkezési típusonként
- Kísérlet a felhasználói fiók találgatására a hiba okánként
- A gép által generált hálózatjelző viselkedésének észlelése
- Tartománygenerálási algoritmus (DGA) DNS-tartományokon
- Domain Reputation Palo Alto anomália (MEGSZŰNT)
- Túlzott adatátviteli anomália
- Túlzott letöltések a Palo Alto GlobalProtecten keresztül
- Túlzott feltöltés a Palo Alto GlobalProtecten keresztül
- Bejelentkezés szokatlan régióból a Palo Alto GlobalProtect-fiók bejelentkezési adataival
- Többrégiós bejelentkezések egyetlen napon belül a Palo Alto GlobalProtecten keresztül (MEGSZŰNT)
- Lehetséges adat-előkészítés
- Lehetséges tartománygenerálási algoritmus (DGA) a következő szintű DNS-tartományokon
- Gyanús földrajzi változás a Palo Alto GlobalProtect-fiók bejelentkezéseiben
- A hozzáféréssel rendelkező védett dokumentumok gyanús száma
- AWS API-hívások gyanús kötete nem AWS-forrás IP-címről
- A csoport felhasználói fiókjának AWS CloudTrail-naplóeseményeinek gyanús kötete EventTypeName szerint
- Gyanús mennyiségű AWS írási API-hívás felhasználói fiókból
- Gyanús mennyiségű sikertelen bejelentkezési kísérlet az AWS-konzolra minden csoport felhasználói fiókja számára
- Gyanús mennyiségű sikertelen bejelentkezési kísérlet az AWS-konzolra minden forrás IP-cím alapján
- Gyanús mennyiségű bejelentkezés a számítógépre
- Gyanús mennyiségű bejelentkezés a számítógépre emelt jogkivonattal
- Gyanús mennyiségű bejelentkezés a felhasználói fiókba
- Gyanús mennyiségű bejelentkezés a felhasználói fiókba bejelentkezési típusok szerint
- Gyanús mennyiségű bejelentkezés emelt szintű jogkivonattal rendelkező felhasználói fiókba
- Szokatlan külső tűzfalriasztás észlelhető
- Szokatlan tömeges leminősítésű AIP-címke
- Szokatlan hálózati kommunikáció a gyakran használt portokon
- Szokatlan hálózati kötet anomáliája
- Szokatlan webes forgalom észlelhető AZ URL-címben lévő IP-címmel
Rendellenes Microsoft Entra bejelentkezési munkamenetek
Leírás: A gépi tanulási modell felhasználónként csoportosítja a Microsoft Entra bejelentkezési naplóit. A modell betanítása a felhasználói bejelentkezési viselkedés előző 6 napján történik. Az elmúlt nap rendellenes felhasználói bejelentkezési munkameneteit jelzi.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | Microsoft Entra bejelentkezési naplók |
| MITRE ATT&CK-taktikák: | Kezdeti hozzáférés |
| MITRE ATT&CK technikák: | T1078 – Érvényes fiókok T1566 – Adathalászat T1133 – Külső távoli szolgáltatások |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Rendellenes Azure-műveletek
Leírás: Ez az észlelési algoritmus 21 napnyi adatot gyűjt az Azure-műveletekről felhasználó szerint csoportosítva az ML-modell betanítása érdekében. Az algoritmus ezután anomáliákat hoz létre azon felhasználók esetében, akik nem gyakori műveletek sorozatát hajtották végre a munkaterületükön. A betanított gépi tanulási modell pontszámot ad a felhasználó által végrehajtott műveleteknek, és rendellenesnek tekinti azokat, amelyek pontszáma nagyobb a megadott küszöbértéknél.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | Azure-tevékenységnaplók |
| MITRE ATT&CK-taktikák: | Kezdeti hozzáférés |
| MITRE ATT&CK technikák: | T1190 – Nyilvános elérésű alkalmazás kihasználása |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Rendellenes kódvégrehajtás
Leírás: A támadók visszaélhetnek a parancs- és szkriptértelmezőkkel parancsok, szkriptek vagy bináris fájlok végrehajtásához. Ezek az interfészek és nyelvek lehetővé teszik a számítógépes rendszerekkel való interakciót, és számos különböző platform közös funkciója.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | Azure-tevékenységnaplók |
| MITRE ATT&CK-taktikák: | Futtatási |
| MITRE ATT&CK technikák: | T1059 – Parancs- és parancsfájl-értelmező |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Rendellenes helyi fiók létrehozása
Leírás: Ez az algoritmus észleli a rendellenes helyi fióklétrehozás windowsos rendszereken. A támadók helyi fiókokat hozhatnak létre a célzott rendszerekhez való hozzáférés fenntartása érdekében. Ez az algoritmus a felhasználók által az előző 14 napban végzett helyi fióklétrehozási tevékenységet elemzi. Hasonló tevékenységet keres az aktuális napon azoktól a felhasználóktól, akik korábban nem voltak láthatók az előzménytevékenységben. Megadhat egy engedélyezési listát, amely kiszűri az ismert felhasználókat az anomália aktiválásától.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | Windows biztonság naplók |
| MITRE ATT&CK-taktikák: | Kitartás |
| MITRE ATT&CK technikák: | T1136 – Fiók létrehozása |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Rendellenes vizsgálati tevékenység
Leírás: Ez az algoritmus egy forrás IP-címről egy vagy több cél IP-címre irányuló portkeresési tevékenységet keres, amely általában nem látható egy adott környezetben.
Az algoritmus figyelembe veszi, hogy az IP-cím nyilvános/külső vagy privát/belső, és az esemény ennek megfelelően van megjelölve. Jelenleg csak a nyilvános vagy a nyilvános vagy a magánjellegű tevékenységek tekinthetők. A vizsgálati tevékenység azt jelezheti, hogy a támadó megkísérli meghatározni az elérhető szolgáltatásokat egy olyan környezetben, amely potenciálisan kihasználható és használható a bejövő vagy oldalirányú mozgáshoz. A forrásportok nagy száma és a célportok nagy száma egyetlen forrás IP-címről egy vagy több cél IP-címre vagy IP-címre érdekes lehet, és rendellenes vizsgálatra utalhat. Továbbá, ha a cél IP-címek aránya magas az egyetlen forrású IP-címhez, az rendellenes vizsgálatra utalhat.
Konfiguráció részletei:
- A feladatfuttatás alapértelmezett értéke naponta, óránkénti tárolókkal.
Az algoritmus az alábbi konfigurálható alapértelmezett értékekkel korlátozza az eredményeket az óránkénti tárolók alapján. - Eszközműveletek – elfogadás, engedélyezés, indítás
- Kizárt portok – 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
- Eltérő célportok száma >= 600
- Eltérő forrásportok száma >= 600
- Eltérő forrásportok száma különböző célporttal osztva, százalékra >konvertált arány = 99,99
- Forrás IP-címe (mindig 1) a cél IP-címével osztva, százalékra >konvertált arány = 99,99
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| MITRE ATT&CK-taktikák: | Felderítés |
| MITRE ATT&CK technikák: | T1046 – Hálózati szolgáltatás vizsgálata |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Rendellenes felhasználói tevékenységek az Office Exchange-ben
Leírás: Ez a gépi tanulási modell felhasználónként csoportosítja az Office Exchange naplóit óránkénti gyűjtőkbe. Egy órát határozunk meg munkamenetként. A modell be van tanítva az előző 7 nap viselkedésére az összes normál (nem rendszergazda) felhasználó számára. A rendellenes felhasználói Office Exchange-munkameneteket jelzi az elmúlt napon.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | Office-tevékenységnapló (Exchange) |
| MITRE ATT&CK-taktikák: | Kitartás Gyűjtemény |
| MITRE ATT&CK technikák: | Gyűjtemény: T1114 – E-mail-gyűjtemény T1213 – Adatok az információs adattárakból Kitartás: T1098 – Fiókkezelés T1136 – Fiók létrehozása T1137 – Office-alkalmazás indítása T1505 – Kiszolgálószoftver-összetevő |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Rendellenes felhasználói/alkalmazástevékenységek az Azure auditnaplóiban
Leírás: Ez az algoritmus azonosítja a rendellenes felhasználói/alkalmazás-Azure-munkameneteket az utolsó nap naplóiban az összes felhasználó és alkalmazás előző 21 napjának viselkedése alapján. Az algoritmus a modell betanítása előtt ellenőrzi a megfelelő mennyiségű adatot.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | Microsoft Entra ellenőrzési naplók |
| MITRE ATT&CK-taktikák: | Gyűjtemény Felderítés Kezdeti hozzáférés Kitartás Jogosultság eszkalációja |
| MITRE ATT&CK technikák: | Gyűjtemény: T1530 – Cloud Storage-objektumból származó adatok Felderítés: T1087 – Fiókfelderítés T1538 – Felhőszolgáltatás irányítópultja T1526 – Cloud Service Discovery T1069 – Engedélycsoportok felderítése T1518 – Szoftverfelderítés Kezdeti hozzáférés: T1190 – Nyilvános elérésű alkalmazás kihasználása T1078 – Érvényes fiókok Kitartás: T1098 – Fiókkezelés T1136 – Fiók létrehozása T1078 – Érvényes fiókok Jogosultságemelés: T1484 – Tartományszabályzat módosítása T1078 – Érvényes fiókok |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Rendellenes W3CIIS-naplók tevékenysége
Leírás: Ez a gépi tanulási algoritmus az elmúlt nap rendellenes IIS-munkameneteit jelzi. Ez rögzíti például a munkamenetben lévő különböző URI-lekérdezések, felhasználói ügynökök vagy naplók szokatlanul magas számát, illetve adott HTTP-imákat vagy HTTP-állapotokat egy munkamenetben. Az algoritmus óránként azonosítja a szokatlan W3CIISLog-eseményeket, helynév és ügyfél IP-cím szerint csoportosítva. A modell betanítása az IIS-tevékenység előző 7 napjára történik. Az algoritmus a modell betanítása előtt ellenőrzi a megfelelő mennyiségű IIS-tevékenységet.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | W3CIIS-naplók |
| MITRE ATT&CK-taktikák: | Kezdeti hozzáférés Kitartás |
| MITRE ATT&CK technikák: | Kezdeti hozzáférés: T1190 – Nyilvános elérésű alkalmazás kihasználása Kitartás: T1505 – Kiszolgálószoftver-összetevő |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Rendellenes webkérelem-tevékenység
Leírás: Ez az algoritmus a W3CIISLog eseményeket óránkénti munkamenetekbe csoportosítja a helynév és az URI-szár szerint csoportosítva. A gépi tanulási modell szokatlanul nagy számú kéréssel azonosítja a munkameneteket, amelyek az elmúlt napban 5xx osztály válaszkódjait aktiválták. Az 5xx-osztálykódok azt jelzik, hogy a kérés aktivált néhány alkalmazás instabilitását vagy hibafeltételét. Ezek arra utalhatnak, hogy a támadó biztonsági rések és konfigurációs problémák esetén űzi az URI-szárat, valamilyen kihasználási tevékenységet hajt végre, például SQL-injektálást végez, vagy kihasznál egy nem javított biztonsági rést. Ez az algoritmus 6 napnyi adatot használ betanításhoz.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | W3CIIS-naplók |
| MITRE ATT&CK-taktikák: | Kezdeti hozzáférés Kitartás |
| MITRE ATT&CK technikák: | Kezdeti hozzáférés: T1190 – Nyilvános elérésű alkalmazás kihasználása Kitartás: T1505 – Kiszolgálószoftver-összetevő |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Számítógépes találgatásos kísérlet
Leírás: Ez az algoritmus szokatlanul nagy mennyiségű sikertelen bejelentkezési kísérletet (4625-ös biztonsági eseményazonosítót) észlel számítógépenként az elmúlt nap során. A modell betanítása a Windows biztonsági eseménynaplóinak előző 21 napjában történik.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | Windows biztonság naplók |
| MITRE ATT&CK-taktikák: | Hitelesítő adatok elérése |
| MITRE ATT&CK technikák: | T1110 - Találgatásos erő |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Kísérlet felhasználói fiók találgatásos kényszerítésére
Leírás: Ez az algoritmus szokatlanul nagy mennyiségű sikertelen bejelentkezési kísérletet (4625-ös biztonsági eseményazonosítót) észlel felhasználói fiókonként az elmúlt nap során. A modell betanítása a Windows biztonsági eseménynaplóinak előző 21 napjában történik.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | Windows biztonság naplók |
| MITRE ATT&CK-taktikák: | Hitelesítő adatok elérése |
| MITRE ATT&CK technikák: | T1110 - Találgatásos erő |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Megkísérlett felhasználói fiók találgatása bejelentkezési típusonként
Leírás: Ez az algoritmus szokatlanul nagy mennyiségű sikertelen bejelentkezési kísérletet (4625-ös biztonsági eseményazonosító) észlel felhasználói fiókonként az elmúlt nap során. A modell betanítása a Windows biztonsági eseménynaplóinak előző 21 napjában történik.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | Windows biztonság naplók |
| MITRE ATT&CK-taktikák: | Hitelesítő adatok elérése |
| MITRE ATT&CK technikák: | T1110 - Találgatásos erő |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Kísérlet a felhasználói fiók találgatására a hiba okánként
Leírás: Ez az algoritmus szokatlanul nagy mennyiségű sikertelen bejelentkezési kísérletet (4625-ös biztonsági eseményazonosítót) észlel felhasználói fiókonként az elmúlt nap meghibásodási okánként. A modell betanítása a Windows biztonsági eseménynaplóinak előző 21 napjában történik.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | Windows biztonság naplók |
| MITRE ATT&CK-taktikák: | Hitelesítő adatok elérése |
| MITRE ATT&CK technikák: | T1110 - Találgatásos erő |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
A gép által generált hálózatjelző viselkedésének észlelése
Leírás: Ez az algoritmus a hálózati forgalom kapcsolati naplóiból származó adatgyűjtő mintákat azonosítja az ismétlődő időeltolási minták alapján. A nem megbízható nyilvános hálózatokhoz ismétlődő időpontban létesített hálózati kapcsolatok a kártevők visszahívására vagy adatkiszivárgási kísérletekre utalnak. Az algoritmus kiszámítja az azonos forrás IP-cím és a cél IP-cím közötti egymást követő hálózati kapcsolatok közötti időkülönbséget, valamint az azonos források és célhelyek közötti idő-különbözeti sorrendben lévő kapcsolatok számát. A jelzőfények százalékos aránya az idő-különbözeti sorrendben lévő kapcsolatok és az egy napban lévő összes kapcsolat közötti kapcsolatok alapján lesz kiszámítva.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | CommonSecurityLog (PAN) |
| MITRE ATT&CK-taktikák: | Parancs és vezérlés |
| MITRE ATT&CK technikák: | T1071 – Application Layer Protocol T1132 – Adatkódolás T1001 – Adatelfedés T1568 – Dinamikus felbontás T1573 – Titkosított csatorna T1008 – Tartalék csatornák T1104 – Többfázisú csatornák T1095 – Nem alkalmazásréteg protokoll T1571 – Nem szabványos port T1572 – Protokoll bújtatása T1090 – Proxy T1205 – Forgalmi jelző T1102 – Webszolgáltatás |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Tartománygenerálási algoritmus (DGA) DNS-tartományokon
Leírás: Ez a gépi tanulási modell a DNS-naplókban az elmúlt napból származó lehetséges DGA-tartományokat jelzi. Az algoritmus az IPv4- és IPv6-címekre feloldó DNS-rekordokra vonatkozik.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | DNS-események |
| MITRE ATT&CK-taktikák: | Parancs és vezérlés |
| MITRE ATT&CK technikák: | T1568 – Dinamikus felbontás |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Domain Reputation Palo Alto anomália (MEGSZŰNT)
Leírás: Ez az algoritmus kiértékeli a Palo Alto tűzfal (PAN-OS termék) naplóiban látható összes tartomány hírnevét. A magas anomáliadetektálási pontszám alacsony hírnévre utal, ami arra utal, hogy a tartományt rosszindulatú tartalom üzemeltetésére figyelték meg, vagy valószínűleg ezt teszi.
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Túlzott adatátviteli anomália
Leírás: Ez az algoritmus szokatlanul magas adatátvitelt észlel a hálózati naplókban. Idősorokkal bontja le az adatokat szezonális, trend- és reziduális összetevőkre az alapkonfiguráció kiszámításához. A korábbi alapkonfigurációtól való hirtelen nagy eltérés rendellenes tevékenységnek minősül.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| MITRE ATT&CK-taktikák: | Adatok kinyerése |
| MITRE ATT&CK technikák: | T1030 – Adatátviteli méretkorlátok T1041 – Exfiltration over C2 Channel T1011 – Más hálózati adathordozón keresztüli kiszivárgás T1567 – Kiszivárgás webszolgáltatáson keresztül T1029 – Ütemezett átvitel T1537 – Adatok átvitele felhőfiókba |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Túlzott letöltések a Palo Alto GlobalProtecten keresztül
Leírás: Ez az algoritmus szokatlanul nagy mennyiségű letöltést észlel felhasználói fiókonként a Palo Alto VPN-megoldáson keresztül. A modell betanítása a VPN-naplók előző 14 napján történik. Ez azt jelzi, hogy az elmúlt nap rendellenesen nagy mennyiségű letöltést adott meg.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-taktikák: | Adatok kinyerése |
| MITRE ATT&CK technikák: | T1030 – Adatátviteli méretkorlátok T1041 – Exfiltration over C2 Channel T1011 – Más hálózati adathordozón keresztüli kiszivárgás T1567 – Kiszivárgás webszolgáltatáson keresztül T1029 – Ütemezett átvitel T1537 – Adatok átvitele felhőfiókba |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Túlzott feltöltés a Palo Alto GlobalProtecten keresztül
Leírás: Ez az algoritmus szokatlanul nagy mennyiségű feltöltést észlel felhasználói fiókonként a Palo Alto VPN-megoldáson keresztül. A modell betanítása a VPN-naplók előző 14 napján történik. Az elmúlt nap rendellenes nagy mennyiségű feltöltését jelzi.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-taktikák: | Adatok kinyerése |
| MITRE ATT&CK technikák: | T1030 – Adatátviteli méretkorlátok T1041 – Exfiltration over C2 Channel T1011 – Más hálózati adathordozón keresztüli kiszivárgás T1567 – Kiszivárgás webszolgáltatáson keresztül T1029 – Ütemezett átvitel T1537 – Adatok átvitele felhőfiókba |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Bejelentkezés szokatlan régióból a Palo Alto GlobalProtect-fiók bejelentkezési adataival
Leírás: Amikor egy Palo Alto GlobalProtect-fiók olyan forrásrégióból jelentkezik be, amely ritkán jelentkezett be az elmúlt 14 napban, a rendszer anomáliát vált ki. Ez az anomália azt jelezheti, hogy a fiók biztonsága sérült.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-taktikák: | Hitelesítő adatok elérése Kezdeti hozzáférés Oldalirányú mozgás |
| MITRE ATT&CK technikák: | T1133 – Külső távoli szolgáltatások |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Többrégiós bejelentkezések egyetlen napon belül a Palo Alto GlobalProtecten keresztül (MEGSZŰNT)
Leírás: Ez az algoritmus egy olyan felhasználói fiókot észlel, amely több nem szomszédos régióból jelentkezett be egyetlen nap alatt egy Palo Alto VPN-en keresztül.
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Lehetséges adat-előkészítés
Leírás: Ez az algoritmus az előző héttől felhasználónként összehasonlítja a különböző fájlok letöltéseit az egyes felhasználók aktuális napi letöltéseivel, és anomália akkor aktiválódik, ha a különböző fájlok letöltéseinek száma meghaladja a konfigurált szórások számát a középérték felett. Az algoritmus jelenleg csak a dokumentumok, képek, videók és archívumok kiterjesztésű, és kiterjesztésű dokumentumok, képek, videók és archívumok kiszivárgása során gyakran látott fájlokat zipmp3xlsmpptxlsxpptxxlsrarmp4docxdocpdfbmponejpgelemzi.mov
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | Office-tevékenységnapló (Exchange) |
| MITRE ATT&CK-taktikák: | Gyűjtemény |
| MITRE ATT&CK technikák: | T1074 – Szakaszos adatok |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Lehetséges tartománygenerálási algoritmus (DGA) a következő szintű DNS-tartományokon
Leírás: Ez a gépi tanulási modell a dns-naplók utolsó napjának tartományneveinek következő szintű tartományait (harmadik szintű és magasabb szintű) jelzi, amelyek szokatlanok. Lehetséges, hogy egy tartománygenerálási algoritmus (DGA) kimenete. Az anomália az IPv4- és IPv6-címekre feloldó DNS-rekordokra vonatkozik.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | DNS-események |
| MITRE ATT&CK-taktikák: | Parancs és vezérlés |
| MITRE ATT&CK technikák: | T1568 – Dinamikus felbontás |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Gyanús földrajzi változás a Palo Alto GlobalProtect-fiók bejelentkezéseiben
Leírás: Az egyezés azt jelzi, hogy egy felhasználó távolról jelentkezett be egy olyan országból/régióból, amely eltér a felhasználó utolsó távoli bejelentkezésének országától/régiójától. Ez a szabály fiókegyeztetésre is utalhat, különösen akkor, ha a szabály egyezése időben történt. Ez magában foglalja a lehetetlen utazás forgatókönyvét is.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-taktikák: | Kezdeti hozzáférés Hitelesítő adatok elérése |
| MITRE ATT&CK technikák: | T1133 – Külső távoli szolgáltatások T1078 – Érvényes fiókok |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
A hozzáféréssel rendelkező védett dokumentumok gyanús száma
Leírás: Ez az algoritmus nagy mennyiségű hozzáférést észlel a védett dokumentumokhoz az Azure Information Protection (AIP) naplóiban. Figyelembe veszi az AIP számítási feladatainak rekordjait egy adott számú napra vonatkozóan, és meghatározza, hogy a felhasználó szokatlan hozzáférést végzett-e a védett dokumentumokhoz egy adott előzményként megadott napon.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | Azure Information Protection-naplók |
| MITRE ATT&CK-taktikák: | Gyűjtemény |
| MITRE ATT&CK technikák: | T1530 – Cloud Storage-objektumból származó adatok T1213 – Adatok az információs adattárakból T1005 – Adatok a helyi rendszerből T1039 – Hálózati megosztott meghajtóról származó adatok T1114 – E-mail-gyűjtemény |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
AWS API-hívások gyanús kötete nem AWS-forrás IP-címről
Leírás: Ez az algoritmus szokatlanul nagy mennyiségű AWS API-hívást észlel felhasználói fiókonként munkaterületenként az AWS forrás IP-címtartományán kívüli forrás IP-címekről az elmúlt napon. A modell betanítása az AWS CloudTrail-naplóesemények előző 21 napján történik forrás IP-cím alapján. Ez a tevékenység azt jelezheti, hogy a felhasználói fiók sérült.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | AWS CloudTrail-naplók |
| MITRE ATT&CK-taktikák: | Kezdeti hozzáférés |
| MITRE ATT&CK technikák: | T1078 – Érvényes fiókok |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
A csoport felhasználói fiókjának AWS CloudTrail-naplóeseményeinek gyanús kötete EventTypeName szerint
Leírás: Ez az algoritmus szokatlanul nagy mennyiségű eseményt észlel csoportonkénti felhasználói fiókonként különböző eseménytípusok (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction) szerint az elmúlt napon az AWS CloudTrail-naplóban. A modell betanítása az AWS CloudTrail-naplóesemények előző 21 napján történik csoportfelhasználói fiók szerint. Ez a tevékenység azt jelezheti, hogy a fiók sérült.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | AWS CloudTrail-naplók |
| MITRE ATT&CK-taktikák: | Kezdeti hozzáférés |
| MITRE ATT&CK technikák: | T1078 – Érvényes fiókok |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Gyanús mennyiségű AWS írási API-hívás felhasználói fiókból
Leírás: Ez az algoritmus szokatlanul nagy mennyiségű AWS írási API-hívást észlel felhasználói fiókonként az elmúlt napon. A modell betanítása az AWS CloudTrail-naplóesemények előző 21 napján történik felhasználói fiók szerint. Ez a tevékenység azt jelezheti, hogy a fiók sérült.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | AWS CloudTrail-naplók |
| MITRE ATT&CK-taktikák: | Kezdeti hozzáférés |
| MITRE ATT&CK technikák: | T1078 – Érvényes fiókok |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Gyanús mennyiségű sikertelen bejelentkezési kísérlet az AWS-konzolra minden csoport felhasználói fiókja számára
Leírás: Ez az algoritmus szokatlanul nagy mennyiségű sikertelen bejelentkezési kísérletet észlel az AWS-konzolra csoportonkénti felhasználói fiókonként az AWS CloudTrail-naplóban az elmúlt napon. A modell betanítása az AWS CloudTrail-naplóesemények előző 21 napján történik csoportfelhasználói fiók szerint. Ez a tevékenység azt jelezheti, hogy a fiók sérült.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | AWS CloudTrail-naplók |
| MITRE ATT&CK-taktikák: | Kezdeti hozzáférés |
| MITRE ATT&CK technikák: | T1078 – Érvényes fiókok |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Gyanús mennyiségű sikertelen bejelentkezési kísérlet az AWS-konzolra minden forrás IP-cím alapján
Leírás: Ez az algoritmus szokatlanul nagy mennyiségű sikertelen bejelentkezési eseményt észlel az AWS-konzolon forrás IP-címenként az AWS CloudTrail-naplóban az elmúlt napon. A modell betanítása az AWS CloudTrail-naplóesemények előző 21 napján történik forrás IP-cím alapján. Ez a tevékenység azt jelezheti, hogy az IP-cím sérült.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | AWS CloudTrail-naplók |
| MITRE ATT&CK-taktikák: | Kezdeti hozzáférés |
| MITRE ATT&CK technikák: | T1078 – Érvényes fiókok |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Gyanús mennyiségű bejelentkezés a számítógépre
Leírás: Ez az algoritmus szokatlanul nagy mennyiségű sikeres bejelentkezést (biztonsági eseményazonosító: 4624) észlel számítógépenként az elmúlt nap során. A modell betanítása az Windows biztonság eseménynaplók előző 21 napján történik.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | Windows biztonság naplók |
| MITRE ATT&CK-taktikák: | Kezdeti hozzáférés |
| MITRE ATT&CK technikák: | T1078 – Érvényes fiókok |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Gyanús mennyiségű bejelentkezés a számítógépre emelt jogkivonattal
Leírás: Ez az algoritmus szokatlanul nagy mennyiségű sikeres bejelentkezést (4624-s biztonsági eseményazonosítót) észlel rendszergazdai jogosultságokkal számítógépenként az elmúlt napon. A modell betanítása az Windows biztonság eseménynaplók előző 21 napján történik.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | Windows biztonság naplók |
| MITRE ATT&CK-taktikák: | Kezdeti hozzáférés |
| MITRE ATT&CK technikák: | T1078 – Érvényes fiókok |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Gyanús mennyiségű bejelentkezés a felhasználói fiókba
Leírás: Ez az algoritmus szokatlanul nagy mennyiségű sikeres bejelentkezést (4624-s biztonsági eseményazonosítót) észlel felhasználói fiókonként az elmúlt nap során. A modell betanítása az Windows biztonság eseménynaplók előző 21 napján történik.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | Windows biztonság naplók |
| MITRE ATT&CK-taktikák: | Kezdeti hozzáférés |
| MITRE ATT&CK technikák: | T1078 – Érvényes fiókok |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Gyanús mennyiségű bejelentkezés a felhasználói fiókba bejelentkezési típusok szerint
Leírás: Ez az algoritmus szokatlanul nagy mennyiségű sikeres bejelentkezést (4624-s biztonsági eseményazonosítót) észlel felhasználói fiókonként, különböző bejelentkezési típusok szerint az elmúlt napon. A modell betanítása az Windows biztonság eseménynaplók előző 21 napján történik.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | Windows biztonság naplók |
| MITRE ATT&CK-taktikák: | Kezdeti hozzáférés |
| MITRE ATT&CK technikák: | T1078 – Érvényes fiókok |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Gyanús mennyiségű bejelentkezés emelt szintű jogkivonattal rendelkező felhasználói fiókba
Leírás: Ez az algoritmus szokatlanul nagy mennyiségű sikeres bejelentkezést (4624-s biztonsági eseményazonosítót) észlel rendszergazdai jogosultságokkal felhasználói fiókonként az elmúlt napon. A modell betanítása az Windows biztonság eseménynaplók előző 21 napján történik.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | Windows biztonság naplók |
| MITRE ATT&CK-taktikák: | Kezdeti hozzáférés |
| MITRE ATT&CK technikák: | T1078 – Érvényes fiókok |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Szokatlan külső tűzfalriasztás észlelhető
Leírás: Ez az algoritmus azonosítja a szokatlan külső tűzfalriasztásokat, amelyek a tűzfalszolgáltató által kiadott fenyegetéskódok. Az elmúlt 7 nap tevékenységeit használja a 10 leggyakrabban aktivált aláírás és a legtöbb aláírást aktiváló 10 gazdagép kiszámításához. A zajos események mindkét típusának kizárása után az anomáliát csak azután aktivál, hogy túllépte az egy nap alatt aktivált aláírások számának küszöbértékét.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | CommonSecurityLog (PAN) |
| MITRE ATT&CK-taktikák: | Felderítés Parancs és vezérlés |
| MITRE ATT&CK technikák: | Felderítés: T1046 – Hálózati szolgáltatás vizsgálata T1135 – Hálózati megosztások felderítése Parancs és vezérlés: T1071 – Application Layer Protocol T1095 – Nem alkalmazásréteg protokoll T1571 – Nem szabványos port |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Szokatlan tömeges leminősítésű AIP-címke
Leírás: Ez az algoritmus szokatlanul nagy mennyiségű leminősítési címketevékenységet észlel az Azure Information Protection (AIP) naplóiban. Figyelembe veszi az "AIP" számítási feladatok rekordjait egy adott számú napra vonatkozóan, és meghatározza a dokumentumokon végzett tevékenységek sorrendjét, valamint a szokatlan mértékű leminősítési tevékenység besorolására alkalmazott címkét.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | Azure Information Protection-naplók |
| MITRE ATT&CK-taktikák: | Gyűjtemény |
| MITRE ATT&CK technikák: | T1530 – Cloud Storage-objektumból származó adatok T1213 – Adatok az információs adattárakból T1005 – Adatok a helyi rendszerből T1039 – Hálózati megosztott meghajtóról származó adatok T1114 – E-mail-gyűjtemény |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Szokatlan hálózati kommunikáció a gyakran használt portokon
Leírás: Ez az algoritmus azonosítja a gyakran használt portokon a szokatlan hálózati kommunikációt, összehasonlítva a napi forgalmat az előző 7 nap alapkonfigurációval. Ez magában foglalja a gyakran használt portok forgalmát (22, 53, 80, 443, 8080, 8888), és összehasonlítja a napi forgalmat az alapidőszakban kiszámított több hálózati forgalom attribútum középértékével és szórásával. A figyelembe vett forgalomattribútumok a napi összes esemény, a napi adatátvitel és a portonkénti eltérő forrás IP-címek száma. A rendellenesség akkor aktiválódik, ha a napi értékek nagyobbak, mint a szórások konfigurált száma a középértéknél.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| MITRE ATT&CK-taktikák: | Parancs és vezérlés Adatok kinyerése |
| MITRE ATT&CK technikák: | Parancs és vezérlés: T1071 – Application Layer Protocol Adatok kinyerése: T1030 – Adatátviteli méretkorlátok |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Szokatlan hálózati kötet anomáliája
Leírás: Ez az algoritmus szokatlanul nagy mennyiségű kapcsolatot észlel a hálózati naplókban. Idősorokkal bontja le az adatokat szezonális, trend- és reziduális összetevőkre az alapkonfiguráció kiszámításához. A korábbi alapkonfigurációtól való hirtelen nagy eltérés rendellenes tevékenységnek minősül.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| MITRE ATT&CK-taktikák: | Adatok kinyerése |
| MITRE ATT&CK technikák: | T1030 – Adatátviteli méretkorlátok |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Szokatlan webes forgalom észlelhető AZ URL-címben lévő IP-címmel
Leírás: Ez az algoritmus azonosítja az IP-címet gazdagépként felsoroló szokatlan webes kéréseket. Az algoritmus megkeresi az URL-útvonalban ip-címekkel rendelkező összes webes kérést, és összehasonlítja őket az előző heti adatokkal, hogy kizárja az ismert jóindulatú forgalmat. Az ismert jóindulatú forgalom kizárása után az anomáliát csak bizonyos, konfigurált értékekkel rendelkező küszöbértékek túllépése után aktivál, például az összes webkérelmet, az azonos gazdagép cél IP-címével látott URL-címek számát és az azonos cél IP-címmel rendelkező URL-címek készletén belüli különböző forrás IP-címek számát. Az ilyen típusú kérések arra utalhatnak, hogy rosszindulatú célokra próbálják megkerülni az URL-hírnevét szolgáltatásokat.
| Attribútum | Érték |
|---|---|
| Anomália típusa: | Testreszabható gépi tanulás |
| Adatforrások: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| MITRE ATT&CK-taktikák: | Parancs és vezérlés Kezdeti hozzáférés |
| MITRE ATT&CK technikák: | Parancs és vezérlés: T1071 – Application Layer Protocol Kezdeti hozzáférés: T1189 – Drive-by Compromise |
Vissza a gépi tanuláson alapuló anomáliák listájához | Vissza a lap tetejére
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: