Bagikan melalui


Anomali yang terdeteksi oleh mesin pembelajaran mesin Microsoft Sentinel

Artikel ini mencantumkan anomali yang dideteksi Microsoft Sentinel menggunakan model pembelajaran mesin yang berbeda.

Deteksi anomali bekerja dengan menganalisis perilaku pengguna di lingkungan selama periode waktu tertentu dan membangun garis besar aktivitas yang sah. Setelah garis besar ditetapkan, aktivitas apa pun di luar parameter normal dianggap sebagai anomali dan karenanya mencurigakan.

Microsoft Sentinel menggunakan dua model berbeda untuk membuat garis besar dan mendeteksi anomali.

Catatan

Deteksi anomali berikut dihentikan per 26 Maret 2024, karena kualitas hasil yang rendah:

  • Anomali Palo Alto Reputasi Domain
  • Proses masuk multi-wilayah dalam satu hari melalui Palo Alto GlobalProtect

Penting

Microsoft Azure Sentinel umumnya tersedia di portal Pertahanan Microsoft, termasuk untuk pelanggan tanpa Microsoft Defender XDR atau lisensi E5.

Mulai Juli 2026, Microsoft Sentinel hanya akan didukung di portal Defender, dan pelanggan yang tersisa yang menggunakan portal Microsoft Azure akan dialihkan secara otomatis.

Kami menyarankan agar setiap pelanggan yang menggunakan Microsoft Sentinel di Azure mulai merencanakan transisi ke portal Defender untuk pengalaman operasi keamanan terpadu penuh yang ditawarkan oleh Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Merencanakan perpindahan Anda ke portal Pertahanan Microsoft untuk semua pelanggan Microsoft Azure Sentinel.

Anomali UEBA

Sentinel UEBA mendeteksi anomali berdasarkan garis besar dinamis yang dibuat untuk setiap entitas di berbagai input data. Perilaku garis besar setiap entitas diatur sesuai dengan aktivitas historisnya sendiri, serekannya, dan mereka yang ada di organisasi secara keseluruhan. Anomali dapat dipicu oleh korelasi atribut yang berbeda seperti jenis tindakan, lokasi geografis, perangkat, sumber daya, ISP, dan banyak lagi.

Anda harus mengaktifkan fitur UEBA agar anomali UEBA terdeteksi.

Penghapusan Akses Akun Anomali

Deskripsi: Penyerang dapat mengganggu ketersediaan sumber daya sistem dan jaringan dengan memblokir akses ke akun yang digunakan oleh pengguna yang sah. Penyerang dapat menghapus, mengunci, atau memanipulasi akun (misalnya, dengan mengubah informasi masuknya) untuk menghapus akses ke akun tersebut.

Atribut Nilai
Jenis anomali: UEBA
Sumber data: Log Aktivitas Azure
Taktik MITRE ATT&CK: Dampak
Teknik MITRE ATT&CK: T1531 - Penghapusan Akses Akun
Aktivitas: Microsoft.Authorization/roleAssignments/hapus
Keluar

Kembali ke daftar | Kembali ke atas

Pembuatan Akun Anomali

Deskripsi: Iklan dapat membuat akun untuk mempertahankan akses ke sistem yang ditargetkan. Dengan tingkat akses yang memadai, membuat akun tersebut dapat digunakan untuk membuat akses informasi masuk sekunder tanpa memerlukan alat akses jarak jauh yang persisten untuk disebarkan pada sistem.

Atribut Nilai
Jenis anomali: UEBA
Sumber data: Log audit Microsoft Entra
Taktik MITRE ATT&CK: Persistensi
Teknik MITRE ATT&CK: T1136 - Buat Akun
Sub-teknik MITRE ATT&CK: Akun Cloud
Aktivitas: Direktori Inti/UserManagement/Tambahkan pengguna

Kembali ke daftar | Kembali ke atas

Penghapusan Akun Anomali

Deskripsi: Iklan dapat mengganggu ketersediaan sistem dan sumber daya jaringan dengan menghambat akses ke akun yang digunakan oleh pengguna yang sah. Akun dapat dihapus, dikunci, atau dimanipulasi (misalnya: informasi masuk yang diubah) untuk menghapus akses ke akun.

Atribut Nilai
Jenis anomali: UEBA
Sumber data: Log audit Microsoft Entra
Taktik MITRE ATT&CK: Dampak
Teknik MITRE ATT&CK: T1531 - Penghapusan Akses Akun
Aktivitas: Direktori Inti/UserManagement/Hapus pengguna
Direktori Inti/Perangkat/Hapus pengguna
Direktori Inti/UserManagement/Hapus pengguna

Kembali ke daftar | Kembali ke atas

Manipulasi Akun Anomali

Deskripsi: Adversaries dapat memanipulasi akun untuk mempertahankan akses ke sistem target. Tindakan ini termasuk menambahkan akun baru ke grup dengan hak istimewa tinggi. Dragonfly 2.0, misalnya, menambahkan akun yang baru dibuat ke grup administrator untuk memelihara akses yang lebih tinggi. Kueri di bawah ini menghasilkan output dari semua pengguna Radius Blast tinggi yang melakukan "Pembaruan pengguna" (perubahan nama) ke peran istimewa, atau yang mengubah pengguna untuk pertama kalinya.

Atribut Nilai
Jenis anomali: UEBA
Sumber data: Log audit Microsoft Entra
Taktik MITRE ATT&CK: Persistensi
Teknik MITRE ATT&CK: T1098 - Manipulasi Akun
Aktivitas: Direktori Inti/UserManagement/Perbarui pengguna

Kembali ke daftar | Kembali ke atas

Eksekusi Kode Anomali (UEBA)

Deskripsi: Adversaries dapat menyalahgunakan perintah dan penerjemah skrip untuk menjalankan perintah, skrip, atau biner. Antarmuka dan bahasa komputer ini menyediakan cara berinteraksi dengan sistem komputer dan merupakan fitur umum di berbagai platform.

Atribut Nilai
Jenis anomali: UEBA
Sumber data: Log Aktivitas Azure
Taktik MITRE ATT&CK: Eksekusi
Teknik MITRE ATT&CK: T1059 - Penerjemah Perintah dan Skrip
Sub-teknik MITRE ATT&CK: PowerShell
Aktivitas: Microsoft.Compute/virtualMachines/runCommand/action

Kembali ke daftar | Kembali ke atas

Penghancuran Data Anomali

Deskripsi: Iklan dapat menghancurkan data dan file pada sistem tertentu atau dalam jumlah besar di jaringan untuk mengganggu ketersediaan sistem, layanan, dan sumber daya jaringan. Penghancuran data kemungkinan akan merender data yang disimpan menjadi tidak dapat dipulihkan dengan teknik forensik melalui penimpaan file atau data pada drive lokal dan jarak jauh.

Atribut Nilai
Jenis anomali: UEBA
Sumber data: Log Aktivitas Azure
Taktik MITRE ATT&CK: Dampak
Teknik MITRE ATT&CK: T1485 - Penghancuran Data
Aktivitas: Microsoft.Compute/disks/delete
Microsoft.Compute/galleries/images/delete
Microsoft.Compute/hostGroups/delete
Microsoft.Compute/hostGroups/hosts/delete
Microsoft.Compute/images/delete
Microsoft.Compute/virtualMachines/delete
Microsoft.Compute/virtualMachineScaleSets/delete
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete
Microsoft.Devices/digitalTwins/Delete
Microsoft.Devices/iotHubs/Delete
Microsoft.KeyVault/vaults/delete
Microsoft.Logic/integrationAccounts/delete
Microsoft.Logic/integrationAccounts/maps/delete
Microsoft.Logic/integrationAccounts/schemas/delete
Microsoft.Logic/integrationAccounts/partners/delete
Microsoft.Logic/integrationServiceEnvironments/delete
Microsoft.Logic/workflows/delete
Microsoft.Resources/subscriptions/resourceGroups/delete
Microsoft.Sql/instancePools/delete
Microsoft.Sql/managedInstances/delete
Microsoft.Sql/managedInstances/administrators/delete
Microsoft.Sql/managedInstances/databases/delete
Microsoft.Storage/storageAccounts/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/hapus
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete
Microsoft.Storage/storageAccounts/blobServices/containers/delete
Microsoft.AAD/domainServices/delete

Kembali ke daftar | Kembali ke atas

Modifikasi Mekanisme Defensif Anomali

Deskripsi: Iklan dapat menonaktifkan alat keamanan untuk menghindari kemungkinan deteksi alat dan aktivitas mereka.

Atribut Nilai
Jenis anomali: UEBA
Sumber data: Log Aktivitas Azure
Taktik MITRE ATT&CK: Penghindaran Pertahanan
Teknik MITRE ATT&CK: T1562 - Pertahanan Gangguan
Sub-teknik MITRE ATT&CK: Menonaktifkan atau Memodifikasi Alat
Menonaktifkan atau Memodifikasi Cloud Firewall
Aktivitas: Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete
Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete
Microsoft.Network/networkSecurityGroups/securityRules/delete
Microsoft.Network/networkSecurityGroups/delete
Microsoft.Network/rencanaPerlindunganDDoS/hapus
Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete
Microsoft.Network/applicationSecurityGroups/delete
Microsoft.Authorization/policyAssignments/delete
Microsoft.Sql/servers/firewallRules/delete
Perintah "Microsoft.Network/firewallPolicies/delete" untuk menghapus kebijakan firewall di Microsoft Network.
Microsoft.Network/azurefirewalls/delete

Kembali ke daftar | Kembali ke atas

Kredensial Masuk Gagal Anomali

Deskripsi: Lawan tanpa pengetahuan sebelumnya tentang kredensial yang sah dalam sistem atau lingkungan dapat menebak kata sandi untuk mencoba mengakses akun.

Atribut Nilai
Jenis anomali: UEBA
Sumber data: Log masuk Microsoft Entra
Log Keamanan Windows
Taktik MITRE ATT&CK: Akses Info Masuk
Teknik MITRE ATT&CK: T1110 - Brute Force
Aktivitas: ID Microsoft Entra: Aktivitas masuk
Keamanan Windows: Gagal masuk (ID Peristiwa 4625)

Kembali ke daftar | Kembali ke atas

Pengaturan Ulang Kata Sandi Anomali

Deskripsi: Iklan dapat mengganggu ketersediaan sistem dan sumber daya jaringan dengan menghambat akses ke akun yang digunakan oleh pengguna yang sah. Akun dapat dihapus, dikunci, atau dimanipulasi (misalnya: informasi masuk yang diubah) untuk menghapus akses ke akun.

Atribut Nilai
Jenis anomali: UEBA
Sumber data: Log audit Microsoft Entra
Taktik MITRE ATT&CK: Dampak
Teknik MITRE ATT&CK: T1531 - Penghapusan Akses Akun
Aktivitas: Direktori Inti/UserManagement/Pengaturan ulang kata sandi pengguna

Kembali ke daftar | Kembali ke atas

Hak Istimewa Anomali Diberikan

Deskripsi: Adversaries dapat menambahkan kredensial yang dikontrol lawan untuk Perwakilan Layanan Azure selain kredensial yang sah yang ada untuk mempertahankan akses persisten ke akun Azure korban.

Atribut Nilai
Jenis anomali: UEBA
Sumber data: Log audit Microsoft Entra
Taktik MITRE ATT&CK: Persistensi
Teknik MITRE ATT&CK: T1098 - Manipulasi Akun
Sub-teknik MITRE ATT&CK: Informasi masuk Azure Service Principal tambahan
Aktivitas: Provisi akun/Manajemen Aplikasi/Tambahkan penetapan peran aplikasi ke perwakilan layanan

Kembali ke daftar | Kembali ke atas

Kredensial Masuk Anomali

Deskripsi: Iklan dapat mencuri kredensial pengguna atau akun layanan tertentu menggunakan teknik Akses Kredensial atau menangkap kredensial sebelumnya dalam proses pengintaian mereka melalui rekayasa sosial untuk cara mendapatkan Persistensi.

Atribut Nilai
Jenis anomali: UEBA
Sumber data: Log masuk Microsoft Entra
Log Keamanan Windows
Taktik MITRE ATT&CK: Persistensi
Teknik MITRE ATT&CK: T1078 - Akun yang Valid
Aktivitas: ID Microsoft Entra: Aktivitas masuk
Keamanan Windows: Masuk berhasil (ID Peristiwa 4624)

Kembali ke daftar | Kembali ke atas

Anomali berbasis pembelajaran mesin

Anomali berbasis pembelajaran mesin yang dapat disesuaikan dari Microsoft Sentinel dapat mengidentifikasi perilaku anomali dengan templat aturan analitik yang dapat langsung digunakan. Meskipun anomali tidak selalu menunjukkan perilaku berbahaya atau bahkan mencurigakan, anomali dapat digunakan untuk meningkatkan deteksi, penyelidikan, dan perburuan ancaman.

Operasi Azure anomali

Deskripsi: Algoritma deteksi ini mengumpulkan data senilai 21 hari pada operasi Azure yang dikelompokkan oleh pengguna untuk melatih model ML ini. Algoritma kemudian menghasilkan anomali dalam kasus pengguna yang melakukan urutan operasi yang jarang terjadi di ruang kerja mereka. Model ML terlatih menilai operasi yang dilakukan oleh pengguna dan menganggap operasi yang skornya lebih besar dari ambang yang ditentukan sebagai anomali.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: Log Aktivitas Azure
Taktik MITRE ATT&CK: Akses Awal
Teknik MITRE ATT&CK: T1190 - Mengeksploitasi Aplikasi yang Dapat Diakses Publik

Kembali ke daftar | Kembali ke atas

Eksekusi Kode Anomali

Deskripsi: Penyerang dapat menyalahgunakan perintah dan penerjemah skrip untuk menjalankan perintah, skrip, atau biner. Antarmuka dan bahasa komputer ini menyediakan cara berinteraksi dengan sistem komputer dan merupakan fitur umum di berbagai platform.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: Log Aktivitas Azure
Taktik MITRE ATT&CK: Eksekusi
Teknik MITRE ATT&CK: T1059 - Penerjemah Perintah dan Skrip

Kembali ke daftar | Kembali ke atas

Pembuatan akun lokal anomali

Deskripsi: Algoritma ini mendeteksi pembuatan akun lokal anomali pada sistem Windows. Penyerang dapat membuat akun lokal untuk memelihara akses ke sistem yang ditargetkan. Algoritma ini menganalisis aktivitas pembuatan akun lokal selama 14 hari sebelumnya oleh pengguna. Ini mencari aktivitas serupa pada hari ini dari pengguna yang sebelumnya tidak terlihat dalam aktivitas historis. Anda dapat menentukan daftar yang diizinkan untuk memfilter pengguna yang diketahui agar tidak memicu anomali ini.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: Log Keamanan Windows
Taktik MITRE ATT&CK: Persistensi
Teknik MITRE ATT&CK: T1136 - Buat Akun

Kembali ke daftar | Kembali ke atas

Aktivitas pengguna anomali di Office Exchange

Deskripsi: Model pembelajaran mesin ini mengelompokkan log Office Exchange berdasarkan per pengguna ke dalam wadah per jam. Kami menentukan satu jam sebagai sesi. Model ini dilatih berdasarkan perilaku 7 hari sebelumnya di seluruh pengguna reguler (non-admin). Ini menunjukkan sesi pengguna Office Exchange anomali di hari terakhir.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: Log Aktivitas Office (Exchange)
Taktik MITRE ATT&CK: Persistensi
Koleksi
Teknik MITRE ATT&CK: Koleksi:
T1114 - Koleksi Email
T1213 - Data dari Repositori Informasi

Ketekunan:
T1098 - Manipulasi Akun
T1136 - Buat Akun
T1137 - Mulai Aplikasi Office
T1505 - Komponen Perangkat Lunak Server Software

Kembali ke daftar | Kembali ke atas

Percobaan brute force komputer

Deskripsi: Algoritma ini mendeteksi volume upaya masuk gagal yang luar biasa tinggi (ID peristiwa keamanan 4625) per komputer selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: Log Keamanan Windows
Taktik MITRE ATT&CK: Akses Info Masuk
Teknik MITRE ATT&CK: T1110 - Brute Force

Kembali ke daftar | Kembali ke atas

Percobaan brute force akun pengguna

Deskripsi: Algoritma ini mendeteksi volume upaya masuk gagal yang luar biasa tinggi (ID peristiwa keamanan 4625) per akun pengguna selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: Log Keamanan Windows
Taktik MITRE ATT&CK: Akses Info Masuk
Teknik MITRE ATT&CK: T1110 - Brute Force

Kembali ke daftar | Kembali ke atas

Percobaan brute force akun pengguna per jenis upaya masuk

Deskripsi: Algoritma ini mendeteksi volume upaya masuk yang gagal dalam volume yang tidak biasa tinggi (ID peristiwa keamanan 4625) per akun pengguna per jenis masuk selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: Log Keamanan Windows
Taktik MITRE ATT&CK: Akses Info Masuk
Teknik MITRE ATT&CK: T1110 - Brute Force

Kembali ke daftar | Kembali ke atas

Percobaan brute force akun pengguna per alasan kegagalan

Deskripsi: Algoritma ini mendeteksi volume upaya masuk yang gagal yang luar biasa tinggi (ID peristiwa keamanan 4625) per akun pengguna per alasan kegagalan selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: Log Keamanan Windows
Taktik MITRE ATT&CK: Akses Info Masuk
Teknik MITRE ATT&CK: T1110 - Brute Force

Kembali ke daftar | Kembali ke atas

Mendeteksi perilaku suar jaringan yang dihasilkan mesin

Deskripsi: Algoritma ini mengidentifikasi pola suar dari log koneksi lalu lintas jaringan berdasarkan pola delta waktu berulang. Setiap koneksi jaringan terhadap jaringan publik yang tidak tepercaya pada delta waktu berulang adalah indikasi panggilan balik malware atau upaya penyelundupan data. Algoritma akan menghitung delta waktu antara koneksi jaringan berturut-turut antara IP sumber dan IP tujuan yang sama, serta jumlah koneksi dalam urutan delta waktu antara sumber dan tujuan yang sama. Persentase suar dihitung sebagai koneksi dalam urutan delta waktu terhadap total koneksi dalam sehari.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: CommonSecurityLog (PAN)
Taktik MITRE ATT&CK: Perintah dan Kontrol
Teknik MITRE ATT&CK: T1071 - Protokol Lapisan Aplikasi
T1132 - Pengodean Data
T1001 - Data Obfuscation
T1568 - Resolusi Dinamis
T1573 - Saluran Terenkripsi
T1008 - Saluran Fallback
T1104 - Saluran Multi-Tahap
T1095 - Protokol Lapisan Non-Aplikasi
T1571 - Port Non-Standar
T1572 - Penerowongan Protokol
T1090 - Proksi
T1205 - Sinyal Lalu Lintas
T1102 - Layanan Web

Kembali ke daftar | Kembali ke atas

Algoritma pembuatan domain (DGA) pada domain DNS

Deskripsi: Model pembelajaran mesin ini menunjukkan domain DGA potensial dari hari terakhir dalam log DNS. Algoritma berlaku untuk rekaman DNS yang diselesaikan ke alamat IPv4 dan IPv6.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: Peristiwa DNS
Taktik MITRE ATT&CK: Perintah dan Kontrol
Teknik MITRE ATT&CK: T1568 - Resolusi Dinamis

Kembali ke daftar | Kembali ke atas

Unduhan Berlebihan melalui Palo Alto GlobalProtect

Deskripsi: Algoritma ini mendeteksi volume unduhan per akun pengguna yang sangat tinggi melalui solusi VPN Palo Alto. Model ini dilatih berdasarkan log VPN 14 hari sebelumnya. Ini menunjukkan volume unduhan anomali yang tinggi dalam sehari terakhir.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: CommonSecurityLog (PAN VPN)
Taktik MITRE ATT&CK: Penyelundupan
Teknik MITRE ATT&CK: T1030 - Batas Ukuran Transfer Data
T1041 - Penyelundupan Melalui Saluran C2
T1011 - Penyelundupan Melalui Media Jaringan Lainnya
T1567 - Penyelundupan Melalui Layanan Web
T1029 - Transfer Terjadwal
T1537 - Mentransfer Data ke Akun Cloud

Kembali ke daftar | Kembali ke atas

Unggahan berlebihan melalui Palo Alto GlobalProtect

Deskripsi: Algoritma ini mendeteksi volume unggahan per akun pengguna yang sangat tinggi melalui solusi VPN Palo Alto. Model ini dilatih berdasarkan log VPN 14 hari sebelumnya. Ini menunjukkan volume unggahan anomali yang tinggi dalam sehari terakhir.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: CommonSecurityLog (PAN VPN)
Taktik MITRE ATT&CK: Penyelundupan
Teknik MITRE ATT&CK: T1030 - Batas Ukuran Transfer Data
T1041 - Penyelundupan Melalui Saluran C2
T1011 - Penyelundupan Melalui Media Jaringan Lainnya
T1567 - Penyelundupan Melalui Layanan Web
T1029 - Transfer Terjadwal
T1537 - Mentransfer Data ke Akun Cloud

Kembali ke daftar | Kembali ke atas

Algoritma pembuatan domain (DGA) potensial pada Domain DNS tingkat berikutnya

Deskripsi: Model pembelajaran mesin ini menunjukkan domain tingkat berikutnya (tingkat ketiga dan ke atas) dari nama domain dari hari terakhir log DNS yang tidak biasa. Mereka berpotensi menjadi output dari algoritma pembuatan domain (DGA). Algoritma berlaku untuk rekaman DNS yang diselesaikan ke alamat IPv4 dan IPv6.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: Peristiwa DNS
Taktik MITRE ATT&CK: Perintah dan Kontrol
Teknik MITRE ATT&CK: T1568 - Resolusi Dinamis

Kembali ke daftar | Kembali ke atas

Volume panggilan AWS API yang mencurigakan dari alamat IP sumber Non-AWS

Deskripsi: Algoritma ini mendeteksi volume panggilan AWS API yang luar biasa tinggi per akun pengguna per ruang kerja, dari alamat IP sumber di luar rentang IP sumber AWS, dalam hari terakhir. Model ini dilatih berdasarkan peristiwa log AWS CloudTrail 21 hari sebelumnya oleh alamat IP sumber. Aktivitas ini dapat menunjukkan bahwa akun pengguna disusupi.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: Log AWS CloudTrail
Taktik MITRE ATT&CK: Akses Awal
Teknik MITRE ATT&CK: T1078 - Akun yang Valid

Kembali ke daftar | Kembali ke atas

Volume panggilan API tulis AWS yang mencurigakan dari akun pengguna

Deskripsi: Algoritma ini mendeteksi volume panggilan AWS write API yang luar biasa tinggi per akun pengguna dalam sehari terakhir. Model ini dilatih berdasarkan peristiwa log AWS CloudTrail 21 hari sebelumnya oleh akun pengguna. Aktivitas ini dapat menunjukkan bahwa akun disusupi.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: Log AWS CloudTrail
Taktik MITRE ATT&CK: Akses Awal
Teknik MITRE ATT&CK: T1078 - Akun yang Valid

Kembali ke daftar | Kembali ke atas

Volume masuk yang mencurigakan ke komputer

Deskripsi: Algoritma ini mendeteksi volume masuk yang berhasil yang luar biasa tinggi (ID peristiwa keamanan 4624) per komputer selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: Log Keamanan Windows
Taktik MITRE ATT&CK: Akses Awal
Teknik MITRE ATT&CK: T1078 - Akun yang Valid

Kembali ke daftar | Kembali ke atas

Volume masuk yang mencurigakan ke komputer dengan token yang lebih tinggi

Deskripsi: Algoritma ini mendeteksi volume login yang berhasil yang luar biasa tinggi (ID peristiwa keamanan 4624) dengan hak administratif, per komputer, selama hari terakhir. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: Log Keamanan Windows
Taktik MITRE ATT&CK: Akses Awal
Teknik MITRE ATT&CK: T1078 - Akun yang Valid

Kembali ke daftar | Kembali ke atas

Volume masuk yang mencurigakan ke akun pengguna

Deskripsi: Algoritma ini mendeteksi volume login yang berhasil yang luar biasa tinggi (ID peristiwa keamanan 4624) per akun pengguna selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: Log Keamanan Windows
Taktik MITRE ATT&CK: Akses Awal
Teknik MITRE ATT&CK: T1078 - Akun yang Valid

Kembali ke daftar | Kembali ke atas

Volume masuk yang mencurigakan ke akun pengguna berdasarkan jenis upaya masuk

Deskripsi: Algoritma ini mendeteksi volume login yang berhasil yang luar biasa tinggi (ID peristiwa keamanan 4624) per akun pengguna, dengan jenis masuk yang berbeda, selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: Log Keamanan Windows
Taktik MITRE ATT&CK: Akses Awal
Teknik MITRE ATT&CK: T1078 - Akun yang Valid

Kembali ke daftar | Kembali ke atas

Volume masuk yang mencurigakan ke akun pengguna dengan token yang lebih tinggi

Deskripsi: Algoritma ini mendeteksi volume login yang berhasil yang luar biasa tinggi (ID peristiwa keamanan 4624) dengan hak administratif, per akun pengguna, selama hari terakhir. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.

Atribut Nilai
Jenis anomali: Pembelajaran mesin yang dapat disesuaikan
Sumber data: Log Keamanan Windows
Taktik MITRE ATT&CK: Akses Awal
Teknik MITRE ATT&CK: T1078 - Akun yang Valid

Kembali ke daftar | Kembali ke atas

Langkah berikutnya