Bagikan melalui


Anomali yang terdeteksi oleh mesin pembelajaran mesin Microsoft Sentinel

Artikel ini mencantumkan anomali yang dideteksi Microsoft Sentinel menggunakan model pembelajaran mesin yang berbeda.

Deteksi anomali bekerja dengan menganalisis perilaku pengguna di lingkungan selama periode waktu tertentu dan membangun garis besar aktivitas yang sah. Setelah garis besar ditetapkan, aktivitas apa pun di luar parameter normal dianggap sebagai anomali dan karenanya mencurigakan.

Microsoft Sentinel menggunakan dua model berbeda untuk membuat garis besar dan mendeteksi anomali.

Note

Deteksi anomali berikut dihentikan per 26 Maret 2024, karena kualitas hasil yang rendah:

  • Anomali Palo Alto Reputasi Domain
  • Proses masuk multi-wilayah dalam satu hari melalui Palo Alto GlobalProtect

Important

Microsoft Azure Sentinel umumnya tersedia di portal Pertahanan Microsoft, termasuk untuk pelanggan tanpa Microsoft Defender XDR atau lisensi E5.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

Jika Anda masih menggunakan Microsoft Sentinel di portal Microsoft Azure, kami sarankan Anda mulai merencanakan transisi ke portal Defender untuk memastikan transisi yang lancar dan memanfaatkan sepenuhnya pengalaman operasi keamanan terpadu yang ditawarkan oleh Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Saatnya Pindah: Menghentikan portal Microsoft Azure Sentinel untuk keamanan yang lebih besar.

UEBA anomalies

Sentinel UEBA mendeteksi anomali berdasarkan garis besar dinamis yang dibuat untuk setiap entitas di berbagai input data. Perilaku garis besar setiap entitas diatur sesuai dengan aktivitas historisnya sendiri, serekannya, dan mereka yang ada di organisasi secara keseluruhan. Anomali dapat dipicu oleh korelasi atribut yang berbeda seperti jenis tindakan, lokasi geografis, perangkat, sumber daya, ISP, dan banyak lagi.

Anda harus mengaktifkan fitur UEBA agar anomali UEBA terdeteksi.

Penghapusan Akses Akun Anomali

Description: An attacker may interrupt the availability of system and network resources by blocking access to accounts used by legitimate users. Penyerang dapat menghapus, mengunci, atau memanipulasi akun (misalnya, dengan mengubah informasi masuknya) untuk menghapus akses ke akun tersebut.

Attribute Value
Anomaly type: UEBA
Data sources: Log Aktivitas Azure
Taktik MITRE ATT&CK: Impact
Teknik MITRE ATT&CK: T1531 - Penghapusan Akses Akun
Activity: Microsoft.Authorization/roleAssignments/delete
Log Out

Kembali ke daftar | Kembali ke atas

Pembuatan Akun Anomali

Description: Adversaries may create an account to maintain access to targeted systems. Dengan tingkat akses yang memadai, membuat akun tersebut dapat digunakan untuk membuat akses informasi masuk sekunder tanpa memerlukan alat akses jarak jauh yang persisten untuk disebarkan pada sistem.

Attribute Value
Anomaly type: UEBA
Data sources: Log audit Microsoft Entra
Taktik MITRE ATT&CK: Persistence
Teknik MITRE ATT&CK: T1136 - Buat Akun
Sub-teknik MITRE ATT&CK: Cloud Account
Activity: Direktori Inti/UserManagement/Tambahkan pengguna

Kembali ke daftar | Kembali ke atas

Penghapusan Akun Anomali

Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Akun dapat dihapus, dikunci, atau dimanipulasi (misalnya: informasi masuk yang diubah) untuk menghapus akses ke akun.

Attribute Value
Anomaly type: UEBA
Data sources: Log audit Microsoft Entra
Taktik MITRE ATT&CK: Impact
Teknik MITRE ATT&CK: T1531 - Penghapusan Akses Akun
Activity: Direktori Inti/UserManagement/Hapus pengguna
Direktori Inti/Perangkat/Hapus pengguna
Direktori Inti/UserManagement/Hapus pengguna

Kembali ke daftar | Kembali ke atas

Manipulasi Akun Anomali

Description: Adversaries may manipulate accounts to maintain access to target systems. Tindakan ini termasuk menambahkan akun baru ke grup dengan hak istimewa tinggi. Dragonfly 2.0, misalnya, menambahkan akun yang baru dibuat ke grup administrator untuk memelihara akses yang lebih tinggi. Kueri di bawah ini menghasilkan output dari semua pengguna Radius Blast tinggi yang melakukan "Pembaruan pengguna" (perubahan nama) ke peran istimewa, atau yang mengubah pengguna untuk pertama kalinya.

Attribute Value
Anomaly type: UEBA
Data sources: Log audit Microsoft Entra
Taktik MITRE ATT&CK: Persistence
Teknik MITRE ATT&CK: T1098 - Manipulasi Akun
Activity: Direktori Inti/UserManagement/Perbarui pengguna

Kembali ke daftar | Kembali ke atas

Eksekusi Kode Anomali (UEBA)

Description: Adversaries may abuse command and script interpreters to execute commands, scripts, or binaries. Antarmuka dan bahasa komputer ini menyediakan cara berinteraksi dengan sistem komputer dan merupakan fitur umum di berbagai platform.

Attribute Value
Anomaly type: UEBA
Data sources: Log Aktivitas Azure
Taktik MITRE ATT&CK: Execution
Teknik MITRE ATT&CK: T1059 - Penerjemah Perintah dan Skrip
Sub-teknik MITRE ATT&CK: PowerShell
Activity: Microsoft.Compute/virtualMachines/runCommand/action

Kembali ke daftar | Kembali ke atas

Penghancuran Data Anomali

Description: Adversaries may destroy data and files on specific systems or in large numbers on a network to interrupt availability to systems, services, and network resources. Penghancuran data kemungkinan akan merender data yang disimpan menjadi tidak dapat dipulihkan dengan teknik forensik melalui penimpaan file atau data pada drive lokal dan jarak jauh.

Attribute Value
Anomaly type: UEBA
Data sources: Log Aktivitas Azure
Taktik MITRE ATT&CK: Impact
Teknik MITRE ATT&CK: T1485 - Penghancuran Data
Activity: Microsoft.Compute/disks/delete
Microsoft.Compute/galleries/images/delete
Microsoft.Compute/hostGroups/delete
Microsoft.Compute/hostGroups/hosts/delete
Microsoft.Compute/images/delete
Microsoft.Compute/virtualMachines/delete
Microsoft.Compute/virtualMachineScaleSets/delete
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete
Microsoft.Devices/digitalTwins/Delete
Microsoft.Devices/iotHubs/Delete
Microsoft.KeyVault/vaults/delete
Microsoft.Logic/integrationAccounts/delete
Microsoft.Logic/integrationAccounts/maps/delete
Microsoft.Logic/integrationAccounts/schemas/delete
Microsoft.Logic/integrationAccounts/partners/delete
Microsoft.Logic/integrationServiceEnvironments/delete
Microsoft.Logic/workflows/delete
Microsoft.Resources/subscriptions/resourceGroups/delete
Microsoft.Sql/instancePools/delete
Microsoft.Sql/managedInstances/delete
Microsoft.Sql/managedInstances/administrators/delete
Microsoft.Sql/managedInstances/databases/delete
Microsoft.Storage/storageAccounts/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete
Microsoft.Storage/storageAccounts/blobServices/containers/delete
Microsoft.AAD/domainServices/delete

Kembali ke daftar | Kembali ke atas

Modifikasi Mekanisme Defensif Anomali

Description: Adversaries may disable security tools to avoid possible detection of their tools and activities.

Attribute Value
Anomaly type: UEBA
Data sources: Log Aktivitas Azure
Taktik MITRE ATT&CK: Defense Evasion
Teknik MITRE ATT&CK: T1562 - Pertahanan Gangguan
Sub-teknik MITRE ATT&CK: Menonaktifkan atau Memodifikasi Alat
Menonaktifkan atau Memodifikasi Cloud Firewall
Activity: Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete
Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete
Microsoft.Network/networkSecurityGroups/securityRules/delete
Microsoft.Network/networkSecurityGroups/delete
Microsoft.Network/ddosProtectionPlans/delete
Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete
Microsoft.Network/applicationSecurityGroups/delete
Microsoft.Authorization/policyAssignments/delete
Microsoft.Sql/servers/firewallRules/delete
Microsoft.Network/firewallPolicies/delete
Microsoft.Network/azurefirewalls/delete

Kembali ke daftar | Kembali ke atas

Kredensial Masuk Gagal Anomali

Description: Adversaries with no prior knowledge of legitimate credentials within the system or environment may guess passwords to attempt access to accounts.

Attribute Value
Anomaly type: UEBA
Data sources: Log masuk Microsoft Entra
Log Keamanan Windows
Taktik MITRE ATT&CK: Credential Access
Teknik MITRE ATT&CK: T1110 - Brute Force
Activity: ID Microsoft Entra: Aktivitas masuk
Windows Security: Failed login (Event ID 4625)

Kembali ke daftar | Kembali ke atas

Pengaturan Ulang Kata Sandi Anomali

Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Akun dapat dihapus, dikunci, atau dimanipulasi (misalnya: informasi masuk yang diubah) untuk menghapus akses ke akun.

Attribute Value
Anomaly type: UEBA
Data sources: Log audit Microsoft Entra
Taktik MITRE ATT&CK: Impact
Teknik MITRE ATT&CK: T1531 - Penghapusan Akses Akun
Activity: Direktori Inti/UserManagement/Pengaturan ulang kata sandi pengguna

Kembali ke daftar | Kembali ke atas

Hak Istimewa Anomali Diberikan

Description: Adversaries may add adversary-controlled credentials for Azure Service Principals in addition to existing legitimate credentials to maintain persistent access to victim Azure accounts.

Attribute Value
Anomaly type: UEBA
Data sources: Log audit Microsoft Entra
Taktik MITRE ATT&CK: Persistence
Teknik MITRE ATT&CK: T1098 - Manipulasi Akun
Sub-teknik MITRE ATT&CK: Informasi masuk Azure Service Principal tambahan
Activity: Provisi akun/Manajemen Aplikasi/Tambahkan penetapan peran aplikasi ke perwakilan layanan

Kembali ke daftar | Kembali ke atas

Anomalous Sign-in

Description: Adversaries may steal the credentials of a specific user or service account using Credential Access techniques or capture credentials earlier in their reconnaissance process through social engineering for means of gaining Persistence.

Attribute Value
Anomaly type: UEBA
Data sources: Log masuk Microsoft Entra
Log Keamanan Windows
Taktik MITRE ATT&CK: Persistence
Teknik MITRE ATT&CK: T1078 - Akun yang Valid
Activity: ID Microsoft Entra: Aktivitas masuk
Windows Security: Successful login (Event ID 4624)

Kembali ke daftar | Kembali ke atas

Anomali berbasis pembelajaran mesin

Anomali berbasis pembelajaran mesin yang dapat disesuaikan dari Microsoft Sentinel dapat mengidentifikasi perilaku anomali dengan templat aturan analitik yang dapat langsung digunakan. Meskipun anomali tidak selalu menunjukkan perilaku berbahaya atau bahkan mencurigakan, anomali dapat digunakan untuk meningkatkan deteksi, penyelidikan, dan perburuan ancaman.

Operasi Azure anomali

Description: This detection algorithm collects 21 days' worth of data on Azure operations grouped by user to train this ML model. Algoritma kemudian menghasilkan anomali dalam kasus pengguna yang melakukan urutan operasi yang jarang terjadi di ruang kerja mereka. Model ML terlatih menilai operasi yang dilakukan oleh pengguna dan menganggap operasi yang skornya lebih besar dari ambang yang ditentukan sebagai anomali.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: Log Aktivitas Azure
Taktik MITRE ATT&CK: Initial Access
Teknik MITRE ATT&CK: T1190 - Mengeksploitasi Aplikasi yang Dapat Diakses Publik

Kembali ke daftar | Kembali ke atas

Eksekusi Kode Anomali

Description: Attackers may abuse command and script interpreters to execute commands, scripts, or binaries. Antarmuka dan bahasa komputer ini menyediakan cara berinteraksi dengan sistem komputer dan merupakan fitur umum di berbagai platform.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: Log Aktivitas Azure
Taktik MITRE ATT&CK: Execution
Teknik MITRE ATT&CK: T1059 - Penerjemah Perintah dan Skrip

Kembali ke daftar | Kembali ke atas

Pembuatan akun lokal anomali

Description: This algorithm detects anomalous local account creation on Windows systems. Penyerang dapat membuat akun lokal untuk memelihara akses ke sistem yang ditargetkan. Algoritma ini menganalisis aktivitas pembuatan akun lokal selama 14 hari sebelumnya oleh pengguna. Ini mencari aktivitas serupa pada hari ini dari pengguna yang sebelumnya tidak terlihat dalam aktivitas historis. Anda dapat menentukan daftar yang diizinkan untuk memfilter pengguna yang diketahui agar tidak memicu anomali ini.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: Log Keamanan Windows
Taktik MITRE ATT&CK: Persistence
Teknik MITRE ATT&CK: T1136 - Buat Akun

Kembali ke daftar | Kembali ke atas

Aktivitas pengguna anomali di Office Exchange

Description: This machine learning model groups the Office Exchange logs on a per-user basis into hourly buckets. Kami menentukan satu jam sebagai sesi. Model ini dilatih berdasarkan perilaku 7 hari sebelumnya di seluruh pengguna reguler (non-admin). Ini menunjukkan sesi pengguna Office Exchange anomali di hari terakhir.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: Log Aktivitas Office (Exchange)
Taktik MITRE ATT&CK: Persistence
Collection
Teknik MITRE ATT&CK: Collection:
T1114 - Koleksi Email
T1213 - Data dari Repositori Informasi

Persistence:
T1098 - Manipulasi Akun
T1136 - Buat Akun
T1137 - Mulai Aplikasi Office
T1505 - Komponen Perangkat Lunak Server Software

Kembali ke daftar | Kembali ke atas

Percobaan brute force komputer

Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per computer over the past day. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: Log Keamanan Windows
Taktik MITRE ATT&CK: Credential Access
Teknik MITRE ATT&CK: T1110 - Brute Force

Kembali ke daftar | Kembali ke atas

Percobaan brute force akun pengguna

Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account over the past day. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: Log Keamanan Windows
Taktik MITRE ATT&CK: Credential Access
Teknik MITRE ATT&CK: T1110 - Brute Force

Kembali ke daftar | Kembali ke atas

Percobaan brute force akun pengguna per jenis upaya masuk

Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per logon type over the past day. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: Log Keamanan Windows
Taktik MITRE ATT&CK: Credential Access
Teknik MITRE ATT&CK: T1110 - Brute Force

Kembali ke daftar | Kembali ke atas

Percobaan brute force akun pengguna per alasan kegagalan

Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per failure reason over the past day. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: Log Keamanan Windows
Taktik MITRE ATT&CK: Credential Access
Teknik MITRE ATT&CK: T1110 - Brute Force

Kembali ke daftar | Kembali ke atas

Mendeteksi perilaku suar jaringan yang dihasilkan mesin

Description: This algorithm identifies beaconing patterns from network traffic connection logs based on recurrent time delta patterns. Setiap koneksi jaringan terhadap jaringan publik yang tidak tepercaya pada delta waktu berulang adalah indikasi panggilan balik malware atau upaya penyelundupan data. Algoritma akan menghitung delta waktu antara koneksi jaringan berturut-turut antara IP sumber dan IP tujuan yang sama, serta jumlah koneksi dalam urutan delta waktu antara sumber dan tujuan yang sama. Persentase suar dihitung sebagai koneksi dalam urutan delta waktu terhadap total koneksi dalam sehari.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: CommonSecurityLog (PAN)
Taktik MITRE ATT&CK: Perintah dan Kontrol
Teknik MITRE ATT&CK: T1071 - Protokol Lapisan Aplikasi
T1132 - Pengodean Data
T1001 - Data Obfuscation
T1568 - Resolusi Dinamis
T1573 - Saluran Terenkripsi
T1008 - Saluran Fallback
T1104 - Saluran Multi-Tahap
T1095 - Protokol Lapisan Non-Aplikasi
T1571 - Port Non-Standar
T1572 - Penerowongan Protokol
T1090 - Proksi
T1205 - Sinyal Lalu Lintas
T1102 - Layanan Web

Kembali ke daftar | Kembali ke atas

Algoritma pembuatan domain (DGA) pada domain DNS

Description: This machine learning model indicates potential DGA domains from the past day in the DNS logs. Algoritma berlaku untuk rekaman DNS yang diselesaikan ke alamat IPv4 dan IPv6.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: DNS Events
Taktik MITRE ATT&CK: Perintah dan Kontrol
Teknik MITRE ATT&CK: T1568 - Resolusi Dinamis

Kembali ke daftar | Kembali ke atas

Unduhan Berlebihan melalui Palo Alto GlobalProtect

Description: This algorithm detects unusually high volume of download per user account through the Palo Alto VPN solution. Model ini dilatih berdasarkan log VPN 14 hari sebelumnya. Ini menunjukkan volume unduhan anomali yang tinggi dalam sehari terakhir.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: CommonSecurityLog (PAN VPN)
Taktik MITRE ATT&CK: Exfiltration
Teknik MITRE ATT&CK: T1030 - Batas Ukuran Transfer Data
T1041 - Penyelundupan Melalui Saluran C2
T1011 - Penyelundupan Melalui Media Jaringan Lainnya
T1567 - Penyelundupan Melalui Layanan Web
T1029 - Transfer Terjadwal
T1537 - Mentransfer Data ke Akun Cloud

Kembali ke daftar | Kembali ke atas

Unggahan berlebihan melalui Palo Alto GlobalProtect

Description: This algorithm detects unusually high volume of upload per user account through the Palo Alto VPN solution. Model ini dilatih berdasarkan log VPN 14 hari sebelumnya. Ini menunjukkan volume unggahan anomali yang tinggi dalam sehari terakhir.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: CommonSecurityLog (PAN VPN)
Taktik MITRE ATT&CK: Exfiltration
Teknik MITRE ATT&CK: T1030 - Batas Ukuran Transfer Data
T1041 - Penyelundupan Melalui Saluran C2
T1011 - Penyelundupan Melalui Media Jaringan Lainnya
T1567 - Penyelundupan Melalui Layanan Web
T1029 - Transfer Terjadwal
T1537 - Mentransfer Data ke Akun Cloud

Kembali ke daftar | Kembali ke atas

Algoritma pembuatan domain (DGA) potensial pada Domain DNS tingkat berikutnya

Description: This machine learning model indicates the next-level domains (third-level and up) of the domain names from the last day of DNS logs that are unusual. Mereka berpotensi menjadi output dari algoritma pembuatan domain (DGA). Algoritma berlaku untuk rekaman DNS yang diselesaikan ke alamat IPv4 dan IPv6.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: DNS Events
Taktik MITRE ATT&CK: Perintah dan Kontrol
Teknik MITRE ATT&CK: T1568 - Resolusi Dinamis

Kembali ke daftar | Kembali ke atas

Volume panggilan AWS API yang mencurigakan dari alamat IP sumber Non-AWS

Description: This algorithm detects an unusually high volume of AWS API calls per user account per workspace, from source IP addresses outside of AWS's source IP ranges, within the last day. Model ini dilatih berdasarkan peristiwa log AWS CloudTrail 21 hari sebelumnya oleh alamat IP sumber. Aktivitas ini dapat menunjukkan bahwa akun pengguna disusupi.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: Log AWS CloudTrail
Taktik MITRE ATT&CK: Initial Access
Teknik MITRE ATT&CK: T1078 - Akun yang Valid

Kembali ke daftar | Kembali ke atas

Volume panggilan API tulis AWS yang mencurigakan dari akun pengguna

Description: This algorithm detects an unusually high volume of AWS write API calls per user account within the last day. Model ini dilatih berdasarkan peristiwa log AWS CloudTrail 21 hari sebelumnya oleh akun pengguna. Aktivitas ini dapat menunjukkan bahwa akun disusupi.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: Log AWS CloudTrail
Taktik MITRE ATT&CK: Initial Access
Teknik MITRE ATT&CK: T1078 - Akun yang Valid

Kembali ke daftar | Kembali ke atas

Volume masuk yang mencurigakan ke komputer

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per computer over the past day. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: Log Keamanan Windows
Taktik MITRE ATT&CK: Initial Access
Teknik MITRE ATT&CK: T1078 - Akun yang Valid

Kembali ke daftar | Kembali ke atas

Volume masuk yang mencurigakan ke komputer dengan token yang lebih tinggi

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per computer, over the last day. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: Log Keamanan Windows
Taktik MITRE ATT&CK: Initial Access
Teknik MITRE ATT&CK: T1078 - Akun yang Valid

Kembali ke daftar | Kembali ke atas

Volume masuk yang mencurigakan ke akun pengguna

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account over the past day. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: Log Keamanan Windows
Taktik MITRE ATT&CK: Initial Access
Teknik MITRE ATT&CK: T1078 - Akun yang Valid

Kembali ke daftar | Kembali ke atas

Volume masuk yang mencurigakan ke akun pengguna berdasarkan jenis upaya masuk

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account, by different logon types, over the past day. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: Log Keamanan Windows
Taktik MITRE ATT&CK: Initial Access
Teknik MITRE ATT&CK: T1078 - Akun yang Valid

Kembali ke daftar | Kembali ke atas

Volume masuk yang mencurigakan ke akun pengguna dengan token yang lebih tinggi

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per user account, over the last day. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.

Attribute Value
Anomaly type: Pembelajaran mesin yang dapat disesuaikan
Data sources: Log Keamanan Windows
Taktik MITRE ATT&CK: Initial Access
Teknik MITRE ATT&CK: T1078 - Akun yang Valid

Kembali ke daftar | Kembali ke atas

Next steps