Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini mencantumkan anomali yang dideteksi Microsoft Sentinel menggunakan model pembelajaran mesin yang berbeda.
Deteksi anomali bekerja dengan menganalisis perilaku pengguna di lingkungan selama periode waktu tertentu dan membangun garis besar aktivitas yang sah. Setelah garis besar ditetapkan, aktivitas apa pun di luar parameter normal dianggap sebagai anomali dan karenanya mencurigakan.
Microsoft Sentinel menggunakan dua model berbeda untuk membuat garis besar dan mendeteksi anomali.
Note
Deteksi anomali berikut dihentikan per 26 Maret 2024, karena kualitas hasil yang rendah:
- Anomali Palo Alto Reputasi Domain
- Proses masuk multi-wilayah dalam satu hari melalui Palo Alto GlobalProtect
Important
Microsoft Azure Sentinel umumnya tersedia di portal Pertahanan Microsoft, termasuk untuk pelanggan tanpa Microsoft Defender XDR atau lisensi E5.
Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.
Jika Anda masih menggunakan Microsoft Sentinel di portal Microsoft Azure, kami sarankan Anda mulai merencanakan transisi ke portal Defender untuk memastikan transisi yang lancar dan memanfaatkan sepenuhnya pengalaman operasi keamanan terpadu yang ditawarkan oleh Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Saatnya Pindah: Menghentikan portal Microsoft Azure Sentinel untuk keamanan yang lebih besar.
UEBA anomalies
Sentinel UEBA mendeteksi anomali berdasarkan garis besar dinamis yang dibuat untuk setiap entitas di berbagai input data. Perilaku garis besar setiap entitas diatur sesuai dengan aktivitas historisnya sendiri, serekannya, dan mereka yang ada di organisasi secara keseluruhan. Anomali dapat dipicu oleh korelasi atribut yang berbeda seperti jenis tindakan, lokasi geografis, perangkat, sumber daya, ISP, dan banyak lagi.
Anda harus mengaktifkan fitur UEBA agar anomali UEBA terdeteksi.
- Penghapusan Akses Akun Anomali
- Pembuatan Akun Anomali
- Penghapusan Akun Anomali
- Manipulasi Akun Anomali
- Eksekusi Kode Anomali (UEBA)
- Penghancuran Data Anomali
- Modifikasi Mekanisme Defensif Anomali
- Masuk Gagal Anomali
- Pengaturan Ulang Kata Sandi Anomali
- Hak Istimewa Anomali Diberikan
- Anomalous Sign-in
Penghapusan Akses Akun Anomali
Description: An attacker may interrupt the availability of system and network resources by blocking access to accounts used by legitimate users. Penyerang dapat menghapus, mengunci, atau memanipulasi akun (misalnya, dengan mengubah informasi masuknya) untuk menghapus akses ke akun tersebut.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Log Aktivitas Azure |
| Taktik MITRE ATT&CK: | Impact |
| Teknik MITRE ATT&CK: | T1531 - Penghapusan Akses Akun |
| Activity: | Microsoft.Authorization/roleAssignments/delete Log Out |
Kembali ke daftar | Kembali ke atas
Pembuatan Akun Anomali
Description: Adversaries may create an account to maintain access to targeted systems. Dengan tingkat akses yang memadai, membuat akun tersebut dapat digunakan untuk membuat akses informasi masuk sekunder tanpa memerlukan alat akses jarak jauh yang persisten untuk disebarkan pada sistem.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Log audit Microsoft Entra |
| Taktik MITRE ATT&CK: | Persistence |
| Teknik MITRE ATT&CK: | T1136 - Buat Akun |
| Sub-teknik MITRE ATT&CK: | Cloud Account |
| Activity: | Direktori Inti/UserManagement/Tambahkan pengguna |
Kembali ke daftar | Kembali ke atas
Penghapusan Akun Anomali
Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Akun dapat dihapus, dikunci, atau dimanipulasi (misalnya: informasi masuk yang diubah) untuk menghapus akses ke akun.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Log audit Microsoft Entra |
| Taktik MITRE ATT&CK: | Impact |
| Teknik MITRE ATT&CK: | T1531 - Penghapusan Akses Akun |
| Activity: | Direktori Inti/UserManagement/Hapus pengguna Direktori Inti/Perangkat/Hapus pengguna Direktori Inti/UserManagement/Hapus pengguna |
Kembali ke daftar | Kembali ke atas
Manipulasi Akun Anomali
Description: Adversaries may manipulate accounts to maintain access to target systems. Tindakan ini termasuk menambahkan akun baru ke grup dengan hak istimewa tinggi. Dragonfly 2.0, misalnya, menambahkan akun yang baru dibuat ke grup administrator untuk memelihara akses yang lebih tinggi. Kueri di bawah ini menghasilkan output dari semua pengguna Radius Blast tinggi yang melakukan "Pembaruan pengguna" (perubahan nama) ke peran istimewa, atau yang mengubah pengguna untuk pertama kalinya.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Log audit Microsoft Entra |
| Taktik MITRE ATT&CK: | Persistence |
| Teknik MITRE ATT&CK: | T1098 - Manipulasi Akun |
| Activity: | Direktori Inti/UserManagement/Perbarui pengguna |
Kembali ke daftar | Kembali ke atas
Eksekusi Kode Anomali (UEBA)
Description: Adversaries may abuse command and script interpreters to execute commands, scripts, or binaries. Antarmuka dan bahasa komputer ini menyediakan cara berinteraksi dengan sistem komputer dan merupakan fitur umum di berbagai platform.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Log Aktivitas Azure |
| Taktik MITRE ATT&CK: | Execution |
| Teknik MITRE ATT&CK: | T1059 - Penerjemah Perintah dan Skrip |
| Sub-teknik MITRE ATT&CK: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
Kembali ke daftar | Kembali ke atas
Penghancuran Data Anomali
Description: Adversaries may destroy data and files on specific systems or in large numbers on a network to interrupt availability to systems, services, and network resources. Penghancuran data kemungkinan akan merender data yang disimpan menjadi tidak dapat dipulihkan dengan teknik forensik melalui penimpaan file atau data pada drive lokal dan jarak jauh.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Log Aktivitas Azure |
| Taktik MITRE ATT&CK: | Impact |
| Teknik MITRE ATT&CK: | T1485 - Penghancuran Data |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Kembali ke daftar | Kembali ke atas
Modifikasi Mekanisme Defensif Anomali
Description: Adversaries may disable security tools to avoid possible detection of their tools and activities.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Log Aktivitas Azure |
| Taktik MITRE ATT&CK: | Defense Evasion |
| Teknik MITRE ATT&CK: | T1562 - Pertahanan Gangguan |
| Sub-teknik MITRE ATT&CK: | Menonaktifkan atau Memodifikasi Alat Menonaktifkan atau Memodifikasi Cloud Firewall |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Kembali ke daftar | Kembali ke atas
Kredensial Masuk Gagal Anomali
Description: Adversaries with no prior knowledge of legitimate credentials within the system or environment may guess passwords to attempt access to accounts.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Log masuk Microsoft Entra Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Credential Access |
| Teknik MITRE ATT&CK: | T1110 - Brute Force |
| Activity: |
ID Microsoft Entra: Aktivitas masuk Windows Security: Failed login (Event ID 4625) |
Kembali ke daftar | Kembali ke atas
Pengaturan Ulang Kata Sandi Anomali
Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Akun dapat dihapus, dikunci, atau dimanipulasi (misalnya: informasi masuk yang diubah) untuk menghapus akses ke akun.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Log audit Microsoft Entra |
| Taktik MITRE ATT&CK: | Impact |
| Teknik MITRE ATT&CK: | T1531 - Penghapusan Akses Akun |
| Activity: | Direktori Inti/UserManagement/Pengaturan ulang kata sandi pengguna |
Kembali ke daftar | Kembali ke atas
Hak Istimewa Anomali Diberikan
Description: Adversaries may add adversary-controlled credentials for Azure Service Principals in addition to existing legitimate credentials to maintain persistent access to victim Azure accounts.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Log audit Microsoft Entra |
| Taktik MITRE ATT&CK: | Persistence |
| Teknik MITRE ATT&CK: | T1098 - Manipulasi Akun |
| Sub-teknik MITRE ATT&CK: | Informasi masuk Azure Service Principal tambahan |
| Activity: | Provisi akun/Manajemen Aplikasi/Tambahkan penetapan peran aplikasi ke perwakilan layanan |
Kembali ke daftar | Kembali ke atas
Anomalous Sign-in
Description: Adversaries may steal the credentials of a specific user or service account using Credential Access techniques or capture credentials earlier in their reconnaissance process through social engineering for means of gaining Persistence.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Log masuk Microsoft Entra Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Persistence |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
| Activity: |
ID Microsoft Entra: Aktivitas masuk Windows Security: Successful login (Event ID 4624) |
Kembali ke daftar | Kembali ke atas
Anomali berbasis pembelajaran mesin
Anomali berbasis pembelajaran mesin yang dapat disesuaikan dari Microsoft Sentinel dapat mengidentifikasi perilaku anomali dengan templat aturan analitik yang dapat langsung digunakan. Meskipun anomali tidak selalu menunjukkan perilaku berbahaya atau bahkan mencurigakan, anomali dapat digunakan untuk meningkatkan deteksi, penyelidikan, dan perburuan ancaman.
- Operasi Azure anomali
- Eksekusi Kode Anomali
- Pembuatan akun lokal anomali
- Aktivitas pengguna anomali di Office Exchange
- Percobaan brute force komputer
- Percobaan brute force akun pengguna
- Percobaan brute force akun pengguna per jenis login
- Percobaan brute force akun pengguna per alasan kegagalan
- Mendeteksi perilaku suar jaringan yang dihasilkan mesin
- Algoritma pembuatan domain (DGA) pada domain DNS
- Unduhan Berlebihan melalui Palo Alto GlobalProtect
- Unggahan berlebihan melalui Palo Alto GlobalProtect
- Algoritma pembuatan domain potensial (DGA) pada Domain DNS tingkat berikutnya
- Volume panggilan AWS API yang mencurigakan dari alamat IP sumber Non-AWS
- Volume panggilan AWS write API yang mencurigakan dari akun pengguna
- Volume masuk yang mencurigakan ke komputer
- Volume masuk yang mencurigakan ke komputer dengan token yang ditinggikan
- Volume masuk yang mencurigakan ke akun pengguna
- Volume masuk yang mencurigakan ke akun pengguna berdasarkan jenis masuk
- Volume masuk yang mencurigakan ke akun pengguna dengan token yang ditinggikan
Operasi Azure anomali
Description: This detection algorithm collects 21 days' worth of data on Azure operations grouped by user to train this ML model. Algoritma kemudian menghasilkan anomali dalam kasus pengguna yang melakukan urutan operasi yang jarang terjadi di ruang kerja mereka. Model ML terlatih menilai operasi yang dilakukan oleh pengguna dan menganggap operasi yang skornya lebih besar dari ambang yang ditentukan sebagai anomali.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | Log Aktivitas Azure |
| Taktik MITRE ATT&CK: | Initial Access |
| Teknik MITRE ATT&CK: | T1190 - Mengeksploitasi Aplikasi yang Dapat Diakses Publik |
Kembali ke daftar | Kembali ke atas
Eksekusi Kode Anomali
Description: Attackers may abuse command and script interpreters to execute commands, scripts, or binaries. Antarmuka dan bahasa komputer ini menyediakan cara berinteraksi dengan sistem komputer dan merupakan fitur umum di berbagai platform.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | Log Aktivitas Azure |
| Taktik MITRE ATT&CK: | Execution |
| Teknik MITRE ATT&CK: | T1059 - Penerjemah Perintah dan Skrip |
Kembali ke daftar | Kembali ke atas
Pembuatan akun lokal anomali
Description: This algorithm detects anomalous local account creation on Windows systems. Penyerang dapat membuat akun lokal untuk memelihara akses ke sistem yang ditargetkan. Algoritma ini menganalisis aktivitas pembuatan akun lokal selama 14 hari sebelumnya oleh pengguna. Ini mencari aktivitas serupa pada hari ini dari pengguna yang sebelumnya tidak terlihat dalam aktivitas historis. Anda dapat menentukan daftar yang diizinkan untuk memfilter pengguna yang diketahui agar tidak memicu anomali ini.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Persistence |
| Teknik MITRE ATT&CK: | T1136 - Buat Akun |
Kembali ke daftar | Kembali ke atas
Aktivitas pengguna anomali di Office Exchange
Description: This machine learning model groups the Office Exchange logs on a per-user basis into hourly buckets. Kami menentukan satu jam sebagai sesi. Model ini dilatih berdasarkan perilaku 7 hari sebelumnya di seluruh pengguna reguler (non-admin). Ini menunjukkan sesi pengguna Office Exchange anomali di hari terakhir.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | Log Aktivitas Office (Exchange) |
| Taktik MITRE ATT&CK: | Persistence Collection |
| Teknik MITRE ATT&CK: |
Collection: T1114 - Koleksi Email T1213 - Data dari Repositori Informasi Persistence: T1098 - Manipulasi Akun T1136 - Buat Akun T1137 - Mulai Aplikasi Office T1505 - Komponen Perangkat Lunak Server Software |
Kembali ke daftar | Kembali ke atas
Percobaan brute force komputer
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per computer over the past day. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Credential Access |
| Teknik MITRE ATT&CK: | T1110 - Brute Force |
Kembali ke daftar | Kembali ke atas
Percobaan brute force akun pengguna
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account over the past day. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Credential Access |
| Teknik MITRE ATT&CK: | T1110 - Brute Force |
Kembali ke daftar | Kembali ke atas
Percobaan brute force akun pengguna per jenis upaya masuk
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per logon type over the past day. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Credential Access |
| Teknik MITRE ATT&CK: | T1110 - Brute Force |
Kembali ke daftar | Kembali ke atas
Percobaan brute force akun pengguna per alasan kegagalan
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per failure reason over the past day. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Credential Access |
| Teknik MITRE ATT&CK: | T1110 - Brute Force |
Kembali ke daftar | Kembali ke atas
Mendeteksi perilaku suar jaringan yang dihasilkan mesin
Description: This algorithm identifies beaconing patterns from network traffic connection logs based on recurrent time delta patterns. Setiap koneksi jaringan terhadap jaringan publik yang tidak tepercaya pada delta waktu berulang adalah indikasi panggilan balik malware atau upaya penyelundupan data. Algoritma akan menghitung delta waktu antara koneksi jaringan berturut-turut antara IP sumber dan IP tujuan yang sama, serta jumlah koneksi dalam urutan delta waktu antara sumber dan tujuan yang sama. Persentase suar dihitung sebagai koneksi dalam urutan delta waktu terhadap total koneksi dalam sehari.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | CommonSecurityLog (PAN) |
| Taktik MITRE ATT&CK: | Perintah dan Kontrol |
| Teknik MITRE ATT&CK: | T1071 - Protokol Lapisan Aplikasi T1132 - Pengodean Data T1001 - Data Obfuscation T1568 - Resolusi Dinamis T1573 - Saluran Terenkripsi T1008 - Saluran Fallback T1104 - Saluran Multi-Tahap T1095 - Protokol Lapisan Non-Aplikasi T1571 - Port Non-Standar T1572 - Penerowongan Protokol T1090 - Proksi T1205 - Sinyal Lalu Lintas T1102 - Layanan Web |
Kembali ke daftar | Kembali ke atas
Algoritma pembuatan domain (DGA) pada domain DNS
Description: This machine learning model indicates potential DGA domains from the past day in the DNS logs. Algoritma berlaku untuk rekaman DNS yang diselesaikan ke alamat IPv4 dan IPv6.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | DNS Events |
| Taktik MITRE ATT&CK: | Perintah dan Kontrol |
| Teknik MITRE ATT&CK: | T1568 - Resolusi Dinamis |
Kembali ke daftar | Kembali ke atas
Unduhan Berlebihan melalui Palo Alto GlobalProtect
Description: This algorithm detects unusually high volume of download per user account through the Palo Alto VPN solution. Model ini dilatih berdasarkan log VPN 14 hari sebelumnya. Ini menunjukkan volume unduhan anomali yang tinggi dalam sehari terakhir.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | CommonSecurityLog (PAN VPN) |
| Taktik MITRE ATT&CK: | Exfiltration |
| Teknik MITRE ATT&CK: | T1030 - Batas Ukuran Transfer Data T1041 - Penyelundupan Melalui Saluran C2 T1011 - Penyelundupan Melalui Media Jaringan Lainnya T1567 - Penyelundupan Melalui Layanan Web T1029 - Transfer Terjadwal T1537 - Mentransfer Data ke Akun Cloud |
Kembali ke daftar | Kembali ke atas
Unggahan berlebihan melalui Palo Alto GlobalProtect
Description: This algorithm detects unusually high volume of upload per user account through the Palo Alto VPN solution. Model ini dilatih berdasarkan log VPN 14 hari sebelumnya. Ini menunjukkan volume unggahan anomali yang tinggi dalam sehari terakhir.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | CommonSecurityLog (PAN VPN) |
| Taktik MITRE ATT&CK: | Exfiltration |
| Teknik MITRE ATT&CK: | T1030 - Batas Ukuran Transfer Data T1041 - Penyelundupan Melalui Saluran C2 T1011 - Penyelundupan Melalui Media Jaringan Lainnya T1567 - Penyelundupan Melalui Layanan Web T1029 - Transfer Terjadwal T1537 - Mentransfer Data ke Akun Cloud |
Kembali ke daftar | Kembali ke atas
Algoritma pembuatan domain (DGA) potensial pada Domain DNS tingkat berikutnya
Description: This machine learning model indicates the next-level domains (third-level and up) of the domain names from the last day of DNS logs that are unusual. Mereka berpotensi menjadi output dari algoritma pembuatan domain (DGA). Algoritma berlaku untuk rekaman DNS yang diselesaikan ke alamat IPv4 dan IPv6.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | DNS Events |
| Taktik MITRE ATT&CK: | Perintah dan Kontrol |
| Teknik MITRE ATT&CK: | T1568 - Resolusi Dinamis |
Kembali ke daftar | Kembali ke atas
Volume panggilan AWS API yang mencurigakan dari alamat IP sumber Non-AWS
Description: This algorithm detects an unusually high volume of AWS API calls per user account per workspace, from source IP addresses outside of AWS's source IP ranges, within the last day. Model ini dilatih berdasarkan peristiwa log AWS CloudTrail 21 hari sebelumnya oleh alamat IP sumber. Aktivitas ini dapat menunjukkan bahwa akun pengguna disusupi.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | Log AWS CloudTrail |
| Taktik MITRE ATT&CK: | Initial Access |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | Kembali ke atas
Volume panggilan API tulis AWS yang mencurigakan dari akun pengguna
Description: This algorithm detects an unusually high volume of AWS write API calls per user account within the last day. Model ini dilatih berdasarkan peristiwa log AWS CloudTrail 21 hari sebelumnya oleh akun pengguna. Aktivitas ini dapat menunjukkan bahwa akun disusupi.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | Log AWS CloudTrail |
| Taktik MITRE ATT&CK: | Initial Access |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | Kembali ke atas
Volume masuk yang mencurigakan ke komputer
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per computer over the past day. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Initial Access |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | Kembali ke atas
Volume masuk yang mencurigakan ke komputer dengan token yang lebih tinggi
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per computer, over the last day. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Initial Access |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | Kembali ke atas
Volume masuk yang mencurigakan ke akun pengguna
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account over the past day. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Initial Access |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | Kembali ke atas
Volume masuk yang mencurigakan ke akun pengguna berdasarkan jenis upaya masuk
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account, by different logon types, over the past day. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Initial Access |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | Kembali ke atas
Volume masuk yang mencurigakan ke akun pengguna dengan token yang lebih tinggi
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per user account, over the last day. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.
| Attribute | Value |
|---|---|
| Anomaly type: | Pembelajaran mesin yang dapat disesuaikan |
| Data sources: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Initial Access |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | Kembali ke atas
Next steps
Pelajari tentang anomali yang dihasilkan pembelajaran mesin di Microsoft Azure Sentinel.
Pelajari cara bekerja dengan aturan anomali.
Investigate incidents with Microsoft Sentinel.