Anomali yang terdeteksi oleh mesin pembelajaran mesin Microsoft Sentinel
Artikel ini mencantumkan anomali yang dideteksi Microsoft Sentinel menggunakan model pembelajaran mesin yang berbeda.
Deteksi anomali bekerja dengan menganalisis perilaku pengguna di lingkungan selama periode waktu tertentu dan membangun garis besar aktivitas yang sah. Setelah garis besar ditetapkan, aktivitas apa pun di luar parameter normal dianggap sebagai anomali dan karenanya mencurigakan.
Microsoft Sentinel menggunakan dua model berbeda untuk membuat garis besar dan mendeteksi anomali.
Catatan
Deteksi anomali berikut dihentikan per 26 Maret 2024, karena kualitas hasil yang rendah:
- Anomali Palo Alto Reputasi Domain
- Proses masuk multi-wilayah dalam satu hari melalui Palo Alto GlobalProtect
Penting
Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Anomali UEBA
Sentinel UEBA mendeteksi anomali berdasarkan garis besar dinamis yang dibuat untuk setiap entitas di berbagai input data. Perilaku garis besar setiap entitas diatur sesuai dengan aktivitas historisnya sendiri, serekannya, dan mereka yang ada di organisasi secara keseluruhan. Anomali dapat dipicu oleh korelasi atribut yang berbeda seperti jenis tindakan, lokasi geografis, perangkat, sumber daya, ISP, dan banyak lagi.
Anda harus mengaktifkan fitur UEBA agar anomali UEBA dapat terdeteksi.
- Penghapusan Akses Akun Anomali
- Pembuatan Akun Anomali
- Penghapusan Akun Anomali
- Manipulasi Akun Anomali
- Eksekusi Kode Anomali (UEBA)
- Penghancuran Data Anomali
- Modifikasi Mekanisme Defensif Anomali
- Kredensial Masuk Gagal Anomali
- Pengaturan Ulang Kata Sandi Anomali
- Hak Istimewa Anomali Diberikan
- Kredensial Masuk Anomali
Penghapusan Akses Akun Anomali
Deskripsi: Penyerang dapat mengganggu ketersediaan sistem dan sumber daya jaringan dengan memblokir akses ke akun yang digunakan oleh pengguna yang sah. Penyerang dapat menghapus, mengunci, atau memanipulasi akun (misalnya, dengan mengubah informasi masuknya) untuk menghapus akses ke akun tersebut.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log Aktivitas Azure |
| Taktik MITRE ATT&CK: | Dampak |
| Teknik MITRE ATT&CK: | T1531 - Penghapusan Akses Akun |
| Aktivitas: | Microsoft.Authorization/roleAssignments/delete Keluar |
Kembali ke daftar | anomali UEBA Kembali ke atas
Pembuatan Akun Anomali
Deskripsi: Musuh dapat membuat akun untuk memelihara akses ke sistem yang ditargetkan. Dengan tingkat akses yang memadai, membuat akun tersebut dapat digunakan untuk membuat akses informasi masuk sekunder tanpa memerlukan alat akses jarak jauh yang persisten untuk disebarkan pada sistem.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log audit Microsoft Entra |
| Taktik MITRE ATT&CK: | Persistensi |
| Teknik MITRE ATT&CK: | T1136 - Buat Akun |
| Sub-teknik MITRE ATT&CK: | Akun Cloud |
| Aktivitas: | Direktori Inti/UserManagement/Tambahkan pengguna |
Kembali ke daftar | anomali UEBA Kembali ke atas
Penghapusan Akun Anomali
Deskripsi: Musuh dapat mengganggu ketersediaan sistem dan sumber daya jaringan dengan menghambat akses ke akun yang digunakan oleh pengguna yang sah. Akun dapat dihapus, dikunci, atau dimanipulasi (misalnya: informasi masuk yang diubah) untuk menghapus akses ke akun.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log audit Microsoft Entra |
| Taktik MITRE ATT&CK: | Dampak |
| Teknik MITRE ATT&CK: | T1531 - Penghapusan Akses Akun |
| Aktivitas: | Direktori Inti/UserManagement/Hapus pengguna Direktori Inti/Perangkat/Hapus pengguna Direktori Inti/UserManagement/Hapus pengguna |
Kembali ke daftar | anomali UEBA Kembali ke atas
Manipulasi Akun Anomali
Deskripsi: Musuh dapat memanipulasi akun untuk memelihara akses ke sistem target. Tindakan ini termasuk menambahkan akun baru ke grup dengan hak istimewa tinggi. Dragonfly 2.0, misalnya, menambahkan akun yang baru dibuat ke grup administrator untuk memelihara akses yang lebih tinggi. Kueri di bawah ini menghasilkan output dari semua pengguna Radius Blast tinggi yang melakukan "Pembaruan pengguna" (perubahan nama) ke peran istimewa, atau yang mengubah pengguna untuk pertama kalinya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log audit Microsoft Entra |
| Taktik MITRE ATT&CK: | Persistensi |
| Teknik MITRE ATT&CK: | T1098 - Manipulasi Akun |
| Aktivitas: | Direktori Inti/UserManagement/Perbarui pengguna |
Kembali ke daftar | anomali UEBA Kembali ke atas
Eksekusi Kode Anomali (UEBA)
Deskripsi: Musuh dapat menyalahgunakan perintah dan penerjemah skrip untuk menjalankan perintah, skrip, atau biner. Antarmuka dan bahasa komputer ini menyediakan cara berinteraksi dengan sistem komputer dan merupakan fitur umum di berbagai platform.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log Aktivitas Azure |
| Taktik MITRE ATT&CK: | Eksekusi |
| Teknik MITRE ATT&CK: | T1059 - Penerjemah Perintah dan Skrip |
| Sub-teknik MITRE ATT&CK: | PowerShell |
| Aktivitas: | Microsoft.Compute/virtualMachines/runCommand/action |
Kembali ke daftar | anomali UEBA Kembali ke atas
Penghancuran Data Anomali
Deskripsi: Musuh dapat menghancurkan data dan file pada sistem tertentu atau dalam jumlah besar di jaringan untuk mengganggu ketersediaan sistem, layanan, dan sumber daya jaringan. Penghancuran data kemungkinan akan merender data yang disimpan menjadi tidak dapat dipulihkan dengan teknik forensik melalui penimpaan file atau data pada drive lokal dan jarak jauh.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log Aktivitas Azure |
| Taktik MITRE ATT&CK: | Dampak |
| Teknik MITRE ATT&CK: | T1485 - Penghancuran Data |
| Aktivitas: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/hapus Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Kembali ke daftar | anomali UEBA Kembali ke atas
Modifikasi Mekanisme Defensif Anomali
Deskripsi: Musuh dapat menonaktifkan alat keamanan untuk menghindari kemungkinan deteksi alat dan aktivitas mereka.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log Aktivitas Azure |
| Taktik MITRE ATT&CK: | Penghindaran Pertahanan |
| Teknik MITRE ATT&CK: | T1562 - Pertahanan Gangguan |
| Sub-teknik MITRE ATT&CK: | Menonaktifkan atau Memodifikasi Alat Menonaktifkan atau Memodifikasi Cloud Firewall |
| Aktivitas: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Kembali ke daftar | anomali UEBA Kembali ke atas
Kredensial Masuk Gagal Anomali
Deskripsi: Musuh dapat pengetahuan sebelumnya tentang informasi masuk yang sah dalam sistem atau lingkungan dapat menebak kata sandi untuk mencoba mengakses akun.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log masuk Microsoft Entra Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Info Masuk |
| Teknik MITRE ATT&CK: | T1110 - Brute Force |
| Aktivitas: | ID Microsoft Entra: Aktivitas masuk Keamanan Windows: Gagal masuk (ID Peristiwa 4625) |
Kembali ke daftar | anomali UEBA Kembali ke atas
Pengaturan Ulang Kata Sandi Anomali
Deskripsi: Musuh dapat mengganggu ketersediaan sistem dan sumber daya jaringan dengan menghambat akses ke akun yang digunakan oleh pengguna yang sah. Akun dapat dihapus, dikunci, atau dimanipulasi (misalnya: informasi masuk yang diubah) untuk menghapus akses ke akun.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log audit Microsoft Entra |
| Taktik MITRE ATT&CK: | Dampak |
| Teknik MITRE ATT&CK: | T1531 - Penghapusan Akses Akun |
| Aktivitas: | Direktori Inti/UserManagement/Pengaturan ulang kata sandi pengguna |
Kembali ke daftar | anomali UEBA Kembali ke atas
Hak Istimewa Anomali Diberikan
Deskripsi: Musuh dapat menambahkan informasi masuk yang dikontrol musuh untuk Azure Service Principals selain informasi masuk yang sah yang ada untuk memelihara akses yang persisten ke akun Azure korban.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log audit Microsoft Entra |
| Taktik MITRE ATT&CK: | Persistensi |
| Teknik MITRE ATT&CK: | T1098 - Manipulasi Akun |
| Sub-teknik MITRE ATT&CK: | Informasi masuk Azure Service Principal tambahan |
| Aktivitas: | Provisi akun/Manajemen Aplikasi/Tambahkan penetapan peran aplikasi ke perwakilan layanan |
Kembali ke daftar | anomali UEBA Kembali ke atas
Kredensial Masuk Anomali
Deskripsi: Musuh dapat mencuri informasi masuk dari pengguna tertentu atau akun layanan menggunakan teknik Akses Informasi Masuk atau menangkap informasi masuk sebelumnya dalam proses pengintaian melalui rekayasa sosial sebagai sarana mendapatkan Persistensi.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log masuk Microsoft Entra Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Persistensi |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
| Aktivitas: | ID Microsoft Entra: Aktivitas masuk Keamanan Windows: Berhasil masuk (ID Peristiwa 4624) |
Kembali ke daftar | anomali UEBA Kembali ke atas
Anomali berbasis pembelajaran mesin
Anomali berbasis pembelajaran mesin yang dapat disesuaikan dari Microsoft Sentinel dapat mengidentifikasi perilaku anomali dengan templat aturan analitik yang dapat langsung digunakan. Meskipun anomali tidak selalu menunjukkan perilaku berbahaya atau bahkan mencurigakan, anomali dapat digunakan untuk meningkatkan deteksi, penyelidikan, dan perburuan ancaman.
- Sesi masuk Microsoft Entra anomali
- Operasi Azure anomali
- Eksekusi Kode Anomali
- Pembuatan akun lokal anomali
- Aktivitas pemindaian anomali
- Aktivitas pengguna anomali di Office Exchange
- Aktivitas pengguna/aplikasi anomali di log audit Azure
- Aktivitas log W3CIIS anomali
- Aktivitas permintaan web anomali
- Percobaan brute force komputer
- Percobaan brute force akun pengguna
- Percobaan brute force akun pengguna per jenis upaya masuk
- Percobaan brute force akun pengguna per alasan kegagalan
- Mendeteksi perilaku jaringan suar yang dihasilkan mesin
- Algoritma pembuatan domain (DGA) pada domain DNS
- Anomali Palo Alto Reputasi Domain (DIHENTIKAN)
- Anomali transfer data yang berlebihan
- Unduhan Berlebihan melalui Palo Alto GlobalProtect
- Unggahan berlebihan melalui Palo Alto GlobalProtect
- Masuk dari wilayah yang tidak biasa melalui masuk akun Palo Alto GlobalProtect
- Login multi-wilayah dalam satu hari melalui Palo Alto GlobalProtect (DISCONTINUED)
- Penahapan data potensial
- Algoritma pembuatan domain (DGA) potensial pada Domain DNS tingkat berikutnya
- Perubahan geografi mencurigakan dalam proses masuk akun Palo Alto GlobalProtect
- Jumlah mencurigakan dari dokumen yang dilindungi yang diakses
- Volume panggilan AWS API yang mencurigakan dari alamat IP sumber Non-AWS
- Volume peristiwa log AWS CloudTrail yang mencurigakan dari akun pengguna grup berdasarkan EventTypeName
- Volume panggilan API tulis AWS yang mencurigakan dari akun pengguna
- Volume upaya masuk yang gagal yang mencurigakan ke Konsol AWS oleh setiap akun pengguna grup
- Volume upaya masuk yang gagal yang mencurigakan ke Konsol AWS oleh setiap alamat IP sumber
- Volume masuk yang mencurigakan ke komputer
- Volume masuk yang mencurigakan ke komputer dengan token yang lebih tinggi
- Volume masuk yang mencurigakan ke akun pengguna
- Volume masuk yang mencurigakan ke akun pengguna berdasarkan jenis upaya masuk
- Volume masuk yang mencurigakan ke akun pengguna dengan token yang lebih tinggi
- Alarm firewall eksternal yang tidak biasa terdeteksi
- Label AIP yang turun tingkat secara masal yang tidak biasa
- Komunikasi jaringan yang tidak biasa pada port yang biasa digunakan
- Anomali volume jaringan yang tidak biasa
- Lalu lintas web yang tidak biasa terdeteksi dengan IP di jalur URL
Sesi masuk Microsoft Entra anomali
Deskripsi: Model pembelajaran mesin mengelompokkan log masuk Microsoft Entra berdasarkan per pengguna. Model ini dilatih pada 6 hari sebelumnya berdasarkan perilaku masuk pengguna. Ini menunjukkan sesi kredensial masuk pengguna yang anomali selama satu hari terakhir.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log masuk Microsoft Entra |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid T1566 - Pengelabuan T1133 - Layanan Jarak Jauh Eksternal |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Operasi Azure anomali
Deskripsi: Algoritma deteksi ini mengumpulkan data selama 21 hari pada operasi Azure yang dikelompokkan oleh pengguna untuk melatih model ML ini. Algoritma kemudian menghasilkan anomali dalam kasus pengguna yang melakukan urutan operasi yang jarang terjadi di ruang kerja mereka. Model ML terlatih menilai operasi yang dilakukan oleh pengguna dan menganggap operasi yang skornya lebih besar dari ambang yang ditentukan sebagai anomali.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Aktivitas Azure |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1190 - Mengeksploitasi Aplikasi yang Dapat Diakses Publik |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Eksekusi Kode Anomali
Deskripsi: Penyerang dapat menyalahgunakan perintah dan penerjemah skrip untuk menjalankan perintah, skrip, atau biner. Antarmuka dan bahasa komputer ini menyediakan cara berinteraksi dengan sistem komputer dan merupakan fitur umum di berbagai platform.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Aktivitas Azure |
| Taktik MITRE ATT&CK: | Eksekusi |
| Teknik MITRE ATT&CK: | T1059 - Penerjemah Perintah dan Skrip |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Pembuatan akun lokal anomali
Deskripsi: Algoritma ini mendeteksi pembuatan akun lokal anomali pada sistem Windows. Penyerang dapat membuat akun lokal untuk memelihara akses ke sistem yang ditargetkan. Algoritma ini menganalisis aktivitas pembuatan akun lokal selama 14 hari sebelumnya oleh pengguna. Ini mencari aktivitas serupa pada hari ini dari pengguna yang sebelumnya tidak terlihat dalam aktivitas historis. Anda dapat menentukan daftar yang diizinkan untuk memfilter pengguna yang diketahui agar tidak memicu anomali ini.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Persistensi |
| Teknik MITRE ATT&CK: | T1136 - Buat Akun |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Aktivitas pemindaian anomali
Deskripsi: Algoritma ini mencari aktivitas pemindaian port, berasal dari satu IP sumber ke satu atau beberapa IP tujuan, yang biasanya tidak terlihat di lingkungan tertentu.
Algoritma memperhitungkan apakah IP bersifat publik/eksternal atau privat/internal, dan peristiwa ditandai dengan sesuai. Hanya aktivitas privat ke publik atau publik ke privat yang dipertimbangkan saat ini. Aktivitas pemindaian dapat menunjukkan bahwa penyerang mencoba menentukan layanan yang tersedia di lingkungan yang berpotensi dieksploitasi dan digunakan untuk pergerakan ingress atau lateral. Sejumlah besar port sumber dan tingginya jumlah port tujuan dari satu IP sumber ke satu atau beberapa IP tujuan bisa menjadi menarik dan menunjukkan pemindaian anomali. Selain itu, jika ada rasio IP tujuan yang tinggi terhadap IP sumber tunggal, hal ini dapat menunjukkan pemindaian anomali.
Detail konfigurasi:
- Default eksekusi pekerjaan adalah harian, dengan bin per jam.
Algoritma menggunakan default yang dapat dikonfigurasi berikut untuk membatasi hasil berdasarkan bin per jam. - Tindakan perangkat yang disertakan - terima, izinkan, mulai
- Port yang dikecualikan - 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
- Jumlah port tujuan yang berbeda >= 600
- Jumlah port sumber yang berbeda >= 600
- Jumlah port sumber yang berbeda dibagi dengan port tujuan yang berbeda, rasio dikonversi ke persen >= 99,99
- IP sumber (selalu 1) dibagi dengan IP tujuan, rasio dikonversi ke persen >= 99,99
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Taktik MITRE ATT&CK: | Penemuan |
| Teknik MITRE ATT&CK: | T1046 - Pemindaian Layanan Jaringan |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Aktivitas pengguna anomali di Office Exchange
Deskripsi: Model pembelajaran mesin ini mengelompokkan upaya masuk Office Exchange per pengguna ke dalam wadah per jam. Kami menentukan satu jam sebagai sesi. Model ini dilatih berdasarkan perilaku 7 hari sebelumnya di seluruh pengguna reguler (non-admin). Ini menunjukkan sesi pengguna Office Exchange anomali di hari terakhir.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Aktivitas Office (Exchange) |
| Taktik MITRE ATT&CK: | Persistensi Koleksi |
| Teknik MITRE ATT&CK: | Koleksi: T1114 - Koleksi Email T1213 - Data dari Repositori Informasi Persistensi: T1098 - Manipulasi Akun T1136 - Buat Akun T1137 - Mulai Aplikasi Office T1505 - Komponen Perangkat Lunak Server Software |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Aktivitas pengguna/aplikasi anomali di log audit Azure
Deskripsi: Algoritma ini mengidentifikasi sesi pengguna/aplikasi anomali Azure dalam log audit selama satu hari terakhir, berdasarkan perilaku 21 hari sebelumnya di seluruh pengguna dan aplikasi. Algoritma memeriksa volume data yang memadai sebelum melatih model.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log audit Microsoft Entra |
| Taktik MITRE ATT&CK: | Koleksi Penemuan Akses Awal Persistensi Eskalasi Hak Istimewa |
| Teknik MITRE ATT&CK: | Koleksi: T1530 - Data dari Objek Penyimpanan Cloud Penemuan: T1087 - Penemuan Akun T1538 - Dasbor Layanan Cloud T1526 - Penemuan Layanan Cloud T1069 - Penemuan Grup Izin T1518 - Penemuan Perangkat Lunak Akses Awal: T1190 - Mengeksploitasi Aplikasi yang Dapat Diakses Publik T1078 - Akun yang Valid Persistensi: T1098 - Manipulasi Akun T1136 - Buat Akun T1078 - Akun yang Valid Eskalasi Hak Istimewa: T1484 - Modifikasi Kebijakan Domain T1078 - Akun yang Valid |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Aktivitas log W3CIIS anomali
Deskripsi: Algoritma pembelajaran mesin ini menunjukkan sesi IIS anomali selama sehari terakhir. Ini akan menangkap, misalnya, kueri URI, agen pengguna, atau upaya masuk pada sesi, atau kata kerja HTTP atau status HTTP tertentu pada sesi dalam jumlah besar yang tidak biasa. Algoritma mengidentifikasi peristiwa W3CIISLog yang tidak biasa dalam sesi per jam, dikelompokkan menurut nama situs dan IP klien. Model ini dilatih berdasarkan aktivitas IIS 7 hari sebelumnya. Algoritma memeriksa volume aktivitas IIS yang memadai sebelum melatih model.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log W3CIIS |
| Taktik MITRE ATT&CK: | Akses Awal Persistensi |
| Teknik MITRE ATT&CK: | Akses Awal: T1190 - Mengeksploitasi Aplikasi yang Dapat Diakses Publik Persistensi: T1505 - Komponen Perangkat Lunak Server Software |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Aktivitas permintaan web anomali
Deskripsi: Algoritma ini mengelompokkan peristiwa W3CIISLog ke dalam sesi per jam yang dikelompokkan menurut nama situs dan batang URI. Model pembelajaran mesin mengidentifikasi sesi dengan jumlah permintaan yang sangat tinggi dan tidak biasa yang memicu kode respons kelas 5xx dalam sehari terakhir. Kode kelas 5xx adalah indikasi bahwa beberapa ketidakstabilan aplikasi atau kondisi kesalahan telah dipicu oleh permintaan. Mereka bisa menjadi indikasi bahwa penyerang menyelidiki batang URI untuk kerentanan dan masalah konfigurasi, melakukan beberapa aktivitas eksploitasi seperti injeksi SQL, atau memanfaatkan kerentanan yang belum di-patch. Algoritma ini menggunakan data selama 6 hari untuk pelatihan.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log W3CIIS |
| Taktik MITRE ATT&CK: | Akses Awal Persistensi |
| Teknik MITRE ATT&CK: | Akses Awal: T1190 - Mengeksploitasi Aplikasi yang Dapat Diakses Publik Persistensi: T1505 - Komponen Perangkat Lunak Server Software |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Percobaan brute force komputer
Deskripsi: Algoritma ini mendeteksi volume upaya masuk gagal yang tinggi dan tidak biasa (ID peristiwa keamanan 4625) per komputer selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Info Masuk |
| Teknik MITRE ATT&CK: | T1110 - Brute Force |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Percobaan brute force akun pengguna
Deskripsi: Algoritma ini mendeteksi volume upaya masuk gagal yang tinggi dan tidak biasa (ID peristiwa keamanan 4625) per akun selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Info Masuk |
| Teknik MITRE ATT&CK: | T1110 - Brute Force |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Percobaan brute force akun pengguna per jenis upaya masuk
Deskripsi: Algoritma ini mendeteksi volume upaya masuk gagal yang tinggi dan tidak biasa (ID peristiwa keamanan 4625) per akun pengguna per jenis upaya masuk selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Info Masuk |
| Teknik MITRE ATT&CK: | T1110 - Brute Force |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Percobaan brute force akun pengguna per alasan kegagalan
Deskripsi: Algoritma ini mendeteksi volume upaya masuk gagal yang tinggi dan tidak biasa (ID peristiwa keamanan 4625) per akun pengguna per alasan kegagalan selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Info Masuk |
| Teknik MITRE ATT&CK: | T1110 - Brute Force |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Mendeteksi perilaku suar jaringan yang dihasilkan mesin
Deskripsi: Algoritma ini mengidentifikasi pola suar dari log koneksi lalu lintas jaringan berdasarkan pola delta waktu berulang. Setiap koneksi jaringan terhadap jaringan publik yang tidak tepercaya pada delta waktu berulang adalah indikasi panggilan balik malware atau upaya penyelundupan data. Algoritma akan menghitung delta waktu antara koneksi jaringan berturut-turut antara IP sumber dan IP tujuan yang sama, serta jumlah koneksi dalam urutan delta waktu antara sumber dan tujuan yang sama. Persentase suar dihitung sebagai koneksi dalam urutan delta waktu terhadap total koneksi dalam sehari.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | CommonSecurityLog (PAN) |
| Taktik MITRE ATT&CK: | Perintah dan Kontrol |
| Teknik MITRE ATT&CK: | T1071 - Protokol Lapisan Aplikasi T1132 - Pengodean Data T1001 - Data Obfuscation T1568 - Resolusi Dinamis T1573 - Saluran Terenkripsi T1008 - Saluran Fallback T1104 - Saluran Multi-Tahap T1095 - Protokol Lapisan Non-Aplikasi T1571 - Port Non-Standar T1572 - Penerowongan Protokol T1090 - Proksi T1205 - Sinyal Lalu Lintas T1102 - Layanan Web |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Algoritma pembuatan domain (DGA) pada domain DNS
Deskripsi: Model pembelajaran mesin ini menunjukkan domain DGA potensial sehari terakhir dalam log DNS. Algoritma berlaku untuk rekaman DNS yang diselesaikan ke alamat IPv4 dan IPv6.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Peristiwa DNS |
| Taktik MITRE ATT&CK: | Perintah dan Kontrol |
| Teknik MITRE ATT&CK: | T1568 - Resolusi Dinamis |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Anomali Palo Alto Reputasi Domain (DIHENTIKAN)
Deskripsi: Algoritma ini mengevaluasi reputasi untuk semua domain yang terlihat khususnya di log firewall Palo Alto (produk PAN-OS). Skor anomali yang tinggi menunjukkan reputasi rendah, menunjukkan bahwa domain telah diamati karena menghosting konten berbahaya atau kemungkinan akan melakukannya.
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Anomali transfer data yang berlebihan
Deskripsi: Algoritma ini mendeteksi transfer data yang sangat tinggi dan tidak biasa yang diamati dalam log jaringan. Ini menggunakan rangkaian waktu untuk menguraikan data menjadi komponen musiman, tren, dan sisa untuk menghitung garis besar. Setiap penyimpangan besar yang tiba-tiba dari garis besar riwayat dianggap sebagai aktivitas anomali.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Taktik MITRE ATT&CK: | Penyelundupan |
| Teknik MITRE ATT&CK: | T1030 - Batas Ukuran Transfer Data T1041 - Penyelundupan Melalui Saluran C2 T1011 - Penyelundupan Melalui Media Jaringan Lainnya T1567 - Penyelundupan Melalui Layanan Web T1029 - Transfer Terjadwal T1537 - Mentransfer Data ke Akun Cloud |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Unduhan Berlebihan melalui Palo Alto GlobalProtect
Deskripsi: Algoritma ini mendeteksi volume unduhan per akun pengguna yang tinggi dan tidak biasa melalui solusi Palo Alto VPN. Model ini dilatih berdasarkan log VPN 14 hari sebelumnya. Ini menunjukkan volume unduhan anomali yang tinggi dalam sehari terakhir.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | CommonSecurityLog (PAN VPN) |
| Taktik MITRE ATT&CK: | Penyelundupan |
| Teknik MITRE ATT&CK: | T1030 - Batas Ukuran Transfer Data T1041 - Penyelundupan Melalui Saluran C2 T1011 - Penyelundupan Melalui Media Jaringan Lainnya T1567 - Penyelundupan Melalui Layanan Web T1029 - Transfer Terjadwal T1537 - Mentransfer Data ke Akun Cloud |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Unggahan berlebihan melalui Palo Alto GlobalProtect
Deskripsi: Algoritma ini mendeteksi volume unggahan per akun pengguna yang tinggi dan tidak biasa melalui solusi Palo Alto VPN. Model ini dilatih berdasarkan log VPN 14 hari sebelumnya. Ini menunjukkan volume unggahan anomali yang tinggi dalam sehari terakhir.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | CommonSecurityLog (PAN VPN) |
| Taktik MITRE ATT&CK: | Penyelundupan |
| Teknik MITRE ATT&CK: | T1030 - Batas Ukuran Transfer Data T1041 - Penyelundupan Melalui Saluran C2 T1011 - Penyelundupan Melalui Media Jaringan Lainnya T1567 - Penyelundupan Melalui Layanan Web T1029 - Transfer Terjadwal T1537 - Mentransfer Data ke Akun Cloud |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Masuk dari wilayah yang tidak biasa melalui masuk akun Palo Alto GlobalProtect
Deskripsi: Ketika akun Palo Alto GlobalProtect masuk dari wilayah sumber yang jarang masuk selama 14 hari terakhir, anomali dipicu. Anomali ini dapat menunjukkan bahwa akun telah disusupi.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | CommonSecurityLog (PAN VPN) |
| Taktik MITRE ATT&CK: | Akses Info Masuk Akses Awal Gerakan Lateral |
| Teknik MITRE ATT&CK: | T1133 - Layanan Jarak Jauh Eksternal |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Login multi-wilayah dalam satu hari melalui Palo Alto GlobalProtect (DISCONTINUED)
Deskripsi: Algoritma ini mendeteksi akun pengguna yang memiliki kredensial masuk dari beberapa wilayah yang tidak berdekatan dalam satu hari melalui PALO Alto VPN.
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Penahapan data potensial
Deskripsi: Algoritma ini membandingkan unduhan file yang berbeda per pengguna dari minggu sebelumnya dengan unduhan hari ini untuk setiap pengguna, dan anomali dipicu ketika jumlah unduhan file yang berbeda melebihi jumlah simpangan baku yang dikonfigurasi di atas rata-rata. Saat ini algoritma hanya menganalisis file yang umumnya terlihat selama penyelundupan dokumen, gambar, video, dan arsip dengan ekstensi doc, docx, xls, xlsx, xlsm, ppt, pptx, one, pdf, zip, rar, bmp, jpg, mp3, mp4, dan mov.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Aktivitas Office (Exchange) |
| Taktik MITRE ATT&CK: | Koleksi |
| Teknik MITRE ATT&CK: | T1074 - Data Ditahapkan |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Algoritma pembuatan domain (DGA) potensial pada Domain DNS tingkat berikutnya
Deskripsi: Model pembelajaran mesin ini menunjukkan domain tingkat berikutnya (tingkat ketiga dan ke atas) dari nama domain dari hari terakhir log DNS yang tidak biasa. Mereka berpotensi menjadi output dari algoritma pembuatan domain (DGA). Algoritma berlaku untuk rekaman DNS yang diselesaikan ke alamat IPv4 dan IPv6.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Peristiwa DNS |
| Taktik MITRE ATT&CK: | Perintah dan Kontrol |
| Teknik MITRE ATT&CK: | T1568 - Resolusi Dinamis |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Perubahan geografi mencurigakan dalam proses masuk akun Palo Alto GlobalProtect
Deskripsi: Kecocokan menunjukkan bahwa pengguna masuk dari jarak jauh dari negara/wilayah yang berbeda dari negara/wilayah login jarak jauh terakhir pengguna. Aturan ini mungkin juga menunjukkan penyusupan akun, terutama jika kecocokan aturan terjadi dalam waktu yang berdekatan. Ini termasuk skenario perjalanan yang tidak mungkin.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | CommonSecurityLog (PAN VPN) |
| Taktik MITRE ATT&CK: | Akses Awal Akses Info Masuk |
| Teknik MITRE ATT&CK: | T1133 - Layanan Jarak Jauh Eksternal T1078 - Akun yang Valid |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Jumlah mencurigakan dari dokumen yang dilindungi yang diakses
Deskripsi: Algoritma ini mendeteksi volume akses yang tinggi ke dokumen yang dilindungi di log Microsoft Azure Information Protection (AIP). Ini mempertimbangkan rekaman beban kerja AIP selama jumlah hari tertentu dan menentukan apakah pengguna melakukan akses yang tidak biasa ke dokumen yang dilindungi dalam sehari terkait perilaku historis.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Microsoft Azure Information Protection |
| Taktik MITRE ATT&CK: | Koleksi |
| Teknik MITRE ATT&CK: | T1530 - Data dari Objek Penyimpanan Cloud T1213 - Data dari Repositori Informasi T1005 - Data dari Sistem Lokal T1039 - Data dari Drive Berbagi Jaringan T1114 - Koleksi Email |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Volume panggilan AWS API yang mencurigakan dari alamat IP sumber Non-AWS
Deskripsi: Algoritma ini mendeteksi volume panggilan AWS API yang tinggi dan tidak biasa per akun pengguna per ruang kerja, dari alamat IP sumber di luar rentang IP sumber AWS, dalam sehari terakhir. Model ini dilatih berdasarkan peristiwa log AWS CloudTrail 21 hari sebelumnya oleh alamat IP sumber. Aktivitas ini dapat menunjukkan bahwa akun pengguna disusupi.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log AWS CloudTrail |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Volume peristiwa log AWS CloudTrail yang mencurigakan dari akun pengguna grup oleh EventTypeName
Deskripsi: Algoritma ini mendeteksi volume peristiwa yang tinggi dan tidak biasa per akun pengguna grup, berdasarkan jenis peristiwa yang berbeda (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction), di log AWS CloudTrail Anda dalam sehari terakhir. Model ini dilatih berdasarkan peristiwa log AWS CloudTrail 21 hari sebelumnya oleh akun pengguna grup. Aktivitas ini dapat menunjukkan bahwa akun disusupi.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log AWS CloudTrail |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Volume panggilan API tulis AWS yang mencurigakan dari akun pengguna
Deskripsi: Algoritma ini mendeteksi volume panggilan API tulis AWS yang tinggi dan tidak biasa per akun pengguna dalam sehari terakhir. Model ini dilatih berdasarkan peristiwa log AWS CloudTrail 21 hari sebelumnya oleh akun pengguna. Aktivitas ini dapat menunjukkan bahwa akun disusupi.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log AWS CloudTrail |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Volume upaya masuk yang gagal yang mencurigakan ke Konsol AWS oleh setiap akun pengguna grup
Deskripsi: Algoritma ini mendeteksi volume upaya masuk gagal yang tinggi dan tidak biasa ke Konsol AWS per akun pengguna grup di log AWS CloudTrail Anda dalam sehari terakhir. Model ini dilatih berdasarkan peristiwa log AWS CloudTrail 21 hari sebelumnya oleh akun pengguna grup. Aktivitas ini dapat menunjukkan bahwa akun disusupi.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log AWS CloudTrail |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Volume upaya masuk yang gagal yang mencurigakan ke Konsol AWS oleh setiap alamat IP sumber
Deskripsi: Algoritma ini mendeteksi volume upaya masuk gagal yang tinggi dan tidak biasa ke Konsol AWS per alamat IP sumber di log AWS CloudTrail Anda dalam sehari terakhir. Model ini dilatih berdasarkan peristiwa log AWS CloudTrail 21 hari sebelumnya oleh alamat IP sumber. Aktivitas ini dapat menunjukkan bahwa alamat IP disusupi.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log AWS CloudTrail |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Volume masuk yang mencurigakan ke komputer
Deskripsi: Algoritma ini mendeteksi volume upaya masuk yang berhasil yang tinggi dan tidak biasa (ID peristiwa keamanan 4624) per komputer selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Volume masuk yang mencurigakan ke komputer dengan token yang lebih tinggi
Deskripsi: Algoritma ini mendeteksi volume upaya masuk yang berhasil yang tinggi dan tidak biasa (ID peristiwa keamanan 4624) dengan hak istimewa admin, per komputer selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Volume masuk yang mencurigakan ke akun pengguna
Deskripsi: Algoritma ini mendeteksi volume upaya masuk yang berhasil yang tinggi dan tidak biasa (ID peristiwa keamanan 4624) per akun pengguna selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Volume masuk yang mencurigakan ke akun pengguna berdasarkan jenis upaya masuk
Deskripsi: Algoritma ini mendeteksi volume upaya masuk yang berhasil yang tinggi dan tidak biasa (ID peristiwa keamanan 4624) per akun pengguna berdasarkan jenis upaya masuk yang berbeda selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Volume masuk yang mencurigakan ke akun pengguna dengan token yang lebih tinggi
Deskripsi: Algoritma ini mendeteksi volume upaya masuk yang berhasil yang tinggi dan tidak biasa (ID peristiwa keamanan 4624) dengan hak istimewa admin, per akun pengguna, selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Alarm firewall eksternal yang tidak biasa terdeteksi
Deskripsi: Algoritma ini mengidentifikasi alarm firewall eksternal yang tidak biasa yang merupakan tanda tangan ancaman yang dirilis oleh vendor firewall. Ini menggunakan aktivitas 7 hari terakhir untuk menghitung 10 tanda tangan yang paling banyak dipicu dan 10 host yang memicu tanda tangan paling banyak. Setelah mengecualikan kedua jenis peristiwa berisik, hal ini memicu anomali hanya setelah melebihi ambang batas untuk jumlah tanda tangan yang dipicu dalam satu hari.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | CommonSecurityLog (PAN) |
| Taktik MITRE ATT&CK: | Penemuan Perintah dan Kontrol |
| Teknik MITRE ATT&CK: | Penemuan: T1046 - Pemindaian Layanan Jaringan T1135 - Penemuan Berbagi Jaringan Komando dan Kontrol: T1071 - Protokol Lapisan Aplikasi T1095 - Protokol Lapisan Non-Aplikasi T1571 - Port Non-Standar |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Label AIP yang turun tingkat secara masal yang tidak biasa
Deskripsi: Algoritma ini mendeteksi volume aktivitas label yang turun tingkat yang sangat tinggi dan tidak biasa di log Microsoft Azure Information Protection (AIP). Ini mempertimbangkan rekaman beban kerja "AIP" selama beberapa hari tertentu dan menentukan urutan aktivitas yang dilakukan pada dokumen bersama dengan label yang diterapkan untuk mengklasifikasikan volume aktivitas turun tingkat yang tidak biasa.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Microsoft Azure Information Protection |
| Taktik MITRE ATT&CK: | Koleksi |
| Teknik MITRE ATT&CK: | T1530 - Data dari Objek Penyimpanan Cloud T1213 - Data dari Repositori Informasi T1005 - Data dari Sistem Lokal T1039 - Data dari Drive Berbagi Jaringan T1114 - Koleksi Email |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Komunikasi jaringan yang tidak biasa pada port yang biasa digunakan
Deskripsi: Algoritma ini mengidentifikasi komunikasi jaringan yang tidak biasa pada port yang biasa digunakan, membandingkan lalu lintas harian dengan garis besar dari 7 hari sebelumnya. Ini termasuk lalu lintas pada port yang biasa digunakan (22, 53, 80, 443, 8080, 8888), dan membandingkan lalu lintas harian dengan rata-rata dan simpangan baku beberapa atribut lalu lintas jaringan yang dihitung selama periode garis besar. Atribut lalu lintas yang dipertimbangkan adalah total peristiwa harian, transfer data harian, dan jumlah alamat IP sumber yang berbeda per port. Anomali dipicu ketika nilai harian lebih besar dari jumlah simpangan baku yang ditentukan di atas rata-rata.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| Taktik MITRE ATT&CK: | Perintah dan Kontrol Penyelundupan |
| Teknik MITRE ATT&CK: | Komando dan Kontrol: T1071 - Protokol Lapisan Aplikasi Penyelundupan: T1030 - Batas Ukuran Transfer Data |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Anomali volume jaringan yang tidak biasa
Deskripsi: Algoritma ini mendeteksi volume koneksi yang tinggi dan tidak biasa dalam log jaringan. Ini menggunakan rangkaian waktu untuk menguraikan data menjadi komponen musiman, tren, dan sisa untuk menghitung garis besar. Setiap penyimpangan besar yang tiba-tiba dari garis besar riwayat dianggap sebagai aktivitas anomali.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Taktik MITRE ATT&CK: | Penyelundupan |
| Teknik MITRE ATT&CK: | T1030 - Batas Ukuran Transfer Data |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Lalu lintas web yang tidak biasa terdeteksi dengan IP di jalur URL
Deskripsi: Algoritma ini mengidentifikasi permintaan web yang tidak biasa yang mencantumkan alamat IP sebagai host. Algoritma menemukan semua permintaan web dengan alamat IP di jalur URL dan membandingkannya dengan data minggu sebelumnya untuk mengecualikan lalu lintas tidak berbahaya yang diketahui. Setelah mengecualikan lalu lintas tidak berbahaya yang diketahui, ini memicu anomali hanya setelah melebihi ambang tertentu dengan nilai yang dikonfigurasi seperti total permintaan web, jumlah URL yang terlihat dengan alamat IP tujuan host yang sama, dan jumlah IP sumber yang berbeda dalam kumpulan URL dengan alamat IP tujuan yang sama. Jenis permintaan ini dapat menunjukkan upaya untuk melewati layanan reputasi URL untuk tujuan berbahaya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| Taktik MITRE ATT&CK: | Perintah dan Kontrol Akses Awal |
| Teknik MITRE ATT&CK: | Komando dan Kontrol: T1071 - Protokol Lapisan Aplikasi Akses Awal: T1189 - Kompromi Drive-by |
Kembali ke daftar | anomali berbasis pembelajaran mesin Kembali ke atas
Langkah berikutnya
Pelajari tentang anomali yang dihasilkan pembelajaran mesin di Microsoft Sentinel.
Pelajari cara bekerja dengan aturan anomali.
Menyelidiki insiden dengan Microsoft Sentinel.