Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini mencantumkan anomali yang dideteksi Microsoft Sentinel menggunakan model pembelajaran mesin yang berbeda.
Deteksi anomali bekerja dengan menganalisis perilaku pengguna di lingkungan selama periode waktu tertentu dan membangun garis besar aktivitas yang sah. Setelah garis besar ditetapkan, aktivitas apa pun di luar parameter normal dianggap sebagai anomali dan karenanya mencurigakan.
Microsoft Sentinel menggunakan dua model berbeda untuk membuat garis besar dan mendeteksi anomali.
Catatan
Deteksi anomali berikut dihentikan per 26 Maret 2024, karena kualitas hasil yang rendah:
- Anomali Palo Alto Reputasi Domain
- Proses masuk multi-wilayah dalam satu hari melalui Palo Alto GlobalProtect
Penting
Microsoft Azure Sentinel umumnya tersedia di portal Pertahanan Microsoft, termasuk untuk pelanggan tanpa Microsoft Defender XDR atau lisensi E5.
Mulai Juli 2026, Microsoft Sentinel hanya akan didukung di portal Defender, dan pelanggan yang tersisa yang menggunakan portal Microsoft Azure akan dialihkan secara otomatis.
Kami menyarankan agar setiap pelanggan yang menggunakan Microsoft Sentinel di Azure mulai merencanakan transisi ke portal Defender untuk pengalaman operasi keamanan terpadu penuh yang ditawarkan oleh Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Merencanakan perpindahan Anda ke portal Pertahanan Microsoft untuk semua pelanggan Microsoft Azure Sentinel.
Anomali UEBA
Sentinel UEBA mendeteksi anomali berdasarkan garis besar dinamis yang dibuat untuk setiap entitas di berbagai input data. Perilaku garis besar setiap entitas diatur sesuai dengan aktivitas historisnya sendiri, serekannya, dan mereka yang ada di organisasi secara keseluruhan. Anomali dapat dipicu oleh korelasi atribut yang berbeda seperti jenis tindakan, lokasi geografis, perangkat, sumber daya, ISP, dan banyak lagi.
Anda harus mengaktifkan fitur UEBA agar anomali UEBA terdeteksi.
- Penghapusan Akses Akun Anomali
- Pembuatan Akun Anomali
- Penghapusan Akun Anomali
- Manipulasi Akun Anomali
- Eksekusi Kode Anomali (UEBA)
- Penghancuran Data Anomali
- Modifikasi Mekanisme Defensif Anomali
- Masuk Gagal Anomali
- Pengaturan Ulang Kata Sandi Anomali
- Hak Istimewa Anomali Diberikan
- Masuk Anomali
Penghapusan Akses Akun Anomali
Deskripsi: Penyerang dapat mengganggu ketersediaan sumber daya sistem dan jaringan dengan memblokir akses ke akun yang digunakan oleh pengguna yang sah. Penyerang dapat menghapus, mengunci, atau memanipulasi akun (misalnya, dengan mengubah informasi masuknya) untuk menghapus akses ke akun tersebut.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log Aktivitas Azure |
| Taktik MITRE ATT&CK: | Dampak |
| Teknik MITRE ATT&CK: | T1531 - Penghapusan Akses Akun |
| Aktivitas: | Microsoft.Authorization/roleAssignments/hapus Keluar |
Kembali ke daftar | Kembali ke atas
Pembuatan Akun Anomali
Deskripsi: Iklan dapat membuat akun untuk mempertahankan akses ke sistem yang ditargetkan. Dengan tingkat akses yang memadai, membuat akun tersebut dapat digunakan untuk membuat akses informasi masuk sekunder tanpa memerlukan alat akses jarak jauh yang persisten untuk disebarkan pada sistem.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log audit Microsoft Entra |
| Taktik MITRE ATT&CK: | Persistensi |
| Teknik MITRE ATT&CK: | T1136 - Buat Akun |
| Sub-teknik MITRE ATT&CK: | Akun Cloud |
| Aktivitas: | Direktori Inti/UserManagement/Tambahkan pengguna |
Kembali ke daftar | Kembali ke atas
Penghapusan Akun Anomali
Deskripsi: Iklan dapat mengganggu ketersediaan sistem dan sumber daya jaringan dengan menghambat akses ke akun yang digunakan oleh pengguna yang sah. Akun dapat dihapus, dikunci, atau dimanipulasi (misalnya: informasi masuk yang diubah) untuk menghapus akses ke akun.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log audit Microsoft Entra |
| Taktik MITRE ATT&CK: | Dampak |
| Teknik MITRE ATT&CK: | T1531 - Penghapusan Akses Akun |
| Aktivitas: | Direktori Inti/UserManagement/Hapus pengguna Direktori Inti/Perangkat/Hapus pengguna Direktori Inti/UserManagement/Hapus pengguna |
Kembali ke daftar | Kembali ke atas
Manipulasi Akun Anomali
Deskripsi: Adversaries dapat memanipulasi akun untuk mempertahankan akses ke sistem target. Tindakan ini termasuk menambahkan akun baru ke grup dengan hak istimewa tinggi. Dragonfly 2.0, misalnya, menambahkan akun yang baru dibuat ke grup administrator untuk memelihara akses yang lebih tinggi. Kueri di bawah ini menghasilkan output dari semua pengguna Radius Blast tinggi yang melakukan "Pembaruan pengguna" (perubahan nama) ke peran istimewa, atau yang mengubah pengguna untuk pertama kalinya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log audit Microsoft Entra |
| Taktik MITRE ATT&CK: | Persistensi |
| Teknik MITRE ATT&CK: | T1098 - Manipulasi Akun |
| Aktivitas: | Direktori Inti/UserManagement/Perbarui pengguna |
Kembali ke daftar | Kembali ke atas
Eksekusi Kode Anomali (UEBA)
Deskripsi: Adversaries dapat menyalahgunakan perintah dan penerjemah skrip untuk menjalankan perintah, skrip, atau biner. Antarmuka dan bahasa komputer ini menyediakan cara berinteraksi dengan sistem komputer dan merupakan fitur umum di berbagai platform.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log Aktivitas Azure |
| Taktik MITRE ATT&CK: | Eksekusi |
| Teknik MITRE ATT&CK: | T1059 - Penerjemah Perintah dan Skrip |
| Sub-teknik MITRE ATT&CK: | PowerShell |
| Aktivitas: | Microsoft.Compute/virtualMachines/runCommand/action |
Kembali ke daftar | Kembali ke atas
Penghancuran Data Anomali
Deskripsi: Iklan dapat menghancurkan data dan file pada sistem tertentu atau dalam jumlah besar di jaringan untuk mengganggu ketersediaan sistem, layanan, dan sumber daya jaringan. Penghancuran data kemungkinan akan merender data yang disimpan menjadi tidak dapat dipulihkan dengan teknik forensik melalui penimpaan file atau data pada drive lokal dan jarak jauh.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log Aktivitas Azure |
| Taktik MITRE ATT&CK: | Dampak |
| Teknik MITRE ATT&CK: | T1485 - Penghancuran Data |
| Aktivitas: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/hapus Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Kembali ke daftar | Kembali ke atas
Modifikasi Mekanisme Defensif Anomali
Deskripsi: Iklan dapat menonaktifkan alat keamanan untuk menghindari kemungkinan deteksi alat dan aktivitas mereka.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log Aktivitas Azure |
| Taktik MITRE ATT&CK: | Penghindaran Pertahanan |
| Teknik MITRE ATT&CK: | T1562 - Pertahanan Gangguan |
| Sub-teknik MITRE ATT&CK: | Menonaktifkan atau Memodifikasi Alat Menonaktifkan atau Memodifikasi Cloud Firewall |
| Aktivitas: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/rencanaPerlindunganDDoS/hapus Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Perintah "Microsoft.Network/firewallPolicies/delete" untuk menghapus kebijakan firewall di Microsoft Network. Microsoft.Network/azurefirewalls/delete |
Kembali ke daftar | Kembali ke atas
Kredensial Masuk Gagal Anomali
Deskripsi: Lawan tanpa pengetahuan sebelumnya tentang kredensial yang sah dalam sistem atau lingkungan dapat menebak kata sandi untuk mencoba mengakses akun.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log masuk Microsoft Entra Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Info Masuk |
| Teknik MITRE ATT&CK: | T1110 - Brute Force |
| Aktivitas: |
ID Microsoft Entra: Aktivitas masuk Keamanan Windows: Gagal masuk (ID Peristiwa 4625) |
Kembali ke daftar | Kembali ke atas
Pengaturan Ulang Kata Sandi Anomali
Deskripsi: Iklan dapat mengganggu ketersediaan sistem dan sumber daya jaringan dengan menghambat akses ke akun yang digunakan oleh pengguna yang sah. Akun dapat dihapus, dikunci, atau dimanipulasi (misalnya: informasi masuk yang diubah) untuk menghapus akses ke akun.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log audit Microsoft Entra |
| Taktik MITRE ATT&CK: | Dampak |
| Teknik MITRE ATT&CK: | T1531 - Penghapusan Akses Akun |
| Aktivitas: | Direktori Inti/UserManagement/Pengaturan ulang kata sandi pengguna |
Kembali ke daftar | Kembali ke atas
Hak Istimewa Anomali Diberikan
Deskripsi: Adversaries dapat menambahkan kredensial yang dikontrol lawan untuk Perwakilan Layanan Azure selain kredensial yang sah yang ada untuk mempertahankan akses persisten ke akun Azure korban.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log audit Microsoft Entra |
| Taktik MITRE ATT&CK: | Persistensi |
| Teknik MITRE ATT&CK: | T1098 - Manipulasi Akun |
| Sub-teknik MITRE ATT&CK: | Informasi masuk Azure Service Principal tambahan |
| Aktivitas: | Provisi akun/Manajemen Aplikasi/Tambahkan penetapan peran aplikasi ke perwakilan layanan |
Kembali ke daftar | Kembali ke atas
Kredensial Masuk Anomali
Deskripsi: Iklan dapat mencuri kredensial pengguna atau akun layanan tertentu menggunakan teknik Akses Kredensial atau menangkap kredensial sebelumnya dalam proses pengintaian mereka melalui rekayasa sosial untuk cara mendapatkan Persistensi.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | UEBA |
| Sumber data: | Log masuk Microsoft Entra Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Persistensi |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
| Aktivitas: |
ID Microsoft Entra: Aktivitas masuk Keamanan Windows: Masuk berhasil (ID Peristiwa 4624) |
Kembali ke daftar | Kembali ke atas
Anomali berbasis pembelajaran mesin
Anomali berbasis pembelajaran mesin yang dapat disesuaikan dari Microsoft Sentinel dapat mengidentifikasi perilaku anomali dengan templat aturan analitik yang dapat langsung digunakan. Meskipun anomali tidak selalu menunjukkan perilaku berbahaya atau bahkan mencurigakan, anomali dapat digunakan untuk meningkatkan deteksi, penyelidikan, dan perburuan ancaman.
- Operasi Azure anomali
- Eksekusi Kode Anomali
- Pembuatan akun lokal anomali
- Aktivitas pengguna anomali di Office Exchange
- Percobaan brute force komputer
- Percobaan brute force akun pengguna
- Percobaan brute force akun pengguna per jenis login
- Percobaan brute force akun pengguna per alasan kegagalan
- Mendeteksi perilaku suar jaringan yang dihasilkan mesin
- Algoritma pembuatan domain (DGA) pada domain DNS
- Unduhan Berlebihan melalui Palo Alto GlobalProtect
- Unggahan berlebihan melalui Palo Alto GlobalProtect
- Algoritma pembuatan domain potensial (DGA) pada Domain DNS tingkat berikutnya
- Volume panggilan AWS API yang mencurigakan dari alamat IP sumber Non-AWS
- Volume panggilan AWS write API yang mencurigakan dari akun pengguna
- Volume masuk yang mencurigakan ke komputer
- Volume masuk yang mencurigakan ke komputer dengan token yang ditinggikan
- Volume masuk yang mencurigakan ke akun pengguna
- Volume masuk yang mencurigakan ke akun pengguna berdasarkan jenis masuk
- Volume masuk yang mencurigakan ke akun pengguna dengan token yang ditinggikan
Operasi Azure anomali
Deskripsi: Algoritma deteksi ini mengumpulkan data senilai 21 hari pada operasi Azure yang dikelompokkan oleh pengguna untuk melatih model ML ini. Algoritma kemudian menghasilkan anomali dalam kasus pengguna yang melakukan urutan operasi yang jarang terjadi di ruang kerja mereka. Model ML terlatih menilai operasi yang dilakukan oleh pengguna dan menganggap operasi yang skornya lebih besar dari ambang yang ditentukan sebagai anomali.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Aktivitas Azure |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1190 - Mengeksploitasi Aplikasi yang Dapat Diakses Publik |
Kembali ke daftar | Kembali ke atas
Eksekusi Kode Anomali
Deskripsi: Penyerang dapat menyalahgunakan perintah dan penerjemah skrip untuk menjalankan perintah, skrip, atau biner. Antarmuka dan bahasa komputer ini menyediakan cara berinteraksi dengan sistem komputer dan merupakan fitur umum di berbagai platform.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Aktivitas Azure |
| Taktik MITRE ATT&CK: | Eksekusi |
| Teknik MITRE ATT&CK: | T1059 - Penerjemah Perintah dan Skrip |
Kembali ke daftar | Kembali ke atas
Pembuatan akun lokal anomali
Deskripsi: Algoritma ini mendeteksi pembuatan akun lokal anomali pada sistem Windows. Penyerang dapat membuat akun lokal untuk memelihara akses ke sistem yang ditargetkan. Algoritma ini menganalisis aktivitas pembuatan akun lokal selama 14 hari sebelumnya oleh pengguna. Ini mencari aktivitas serupa pada hari ini dari pengguna yang sebelumnya tidak terlihat dalam aktivitas historis. Anda dapat menentukan daftar yang diizinkan untuk memfilter pengguna yang diketahui agar tidak memicu anomali ini.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Persistensi |
| Teknik MITRE ATT&CK: | T1136 - Buat Akun |
Kembali ke daftar | Kembali ke atas
Aktivitas pengguna anomali di Office Exchange
Deskripsi: Model pembelajaran mesin ini mengelompokkan log Office Exchange berdasarkan per pengguna ke dalam wadah per jam. Kami menentukan satu jam sebagai sesi. Model ini dilatih berdasarkan perilaku 7 hari sebelumnya di seluruh pengguna reguler (non-admin). Ini menunjukkan sesi pengguna Office Exchange anomali di hari terakhir.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Aktivitas Office (Exchange) |
| Taktik MITRE ATT&CK: | Persistensi Koleksi |
| Teknik MITRE ATT&CK: |
Koleksi: T1114 - Koleksi Email T1213 - Data dari Repositori Informasi Ketekunan: T1098 - Manipulasi Akun T1136 - Buat Akun T1137 - Mulai Aplikasi Office T1505 - Komponen Perangkat Lunak Server Software |
Kembali ke daftar | Kembali ke atas
Percobaan brute force komputer
Deskripsi: Algoritma ini mendeteksi volume upaya masuk gagal yang luar biasa tinggi (ID peristiwa keamanan 4625) per komputer selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Info Masuk |
| Teknik MITRE ATT&CK: | T1110 - Brute Force |
Kembali ke daftar | Kembali ke atas
Percobaan brute force akun pengguna
Deskripsi: Algoritma ini mendeteksi volume upaya masuk gagal yang luar biasa tinggi (ID peristiwa keamanan 4625) per akun pengguna selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Info Masuk |
| Teknik MITRE ATT&CK: | T1110 - Brute Force |
Kembali ke daftar | Kembali ke atas
Percobaan brute force akun pengguna per jenis upaya masuk
Deskripsi: Algoritma ini mendeteksi volume upaya masuk yang gagal dalam volume yang tidak biasa tinggi (ID peristiwa keamanan 4625) per akun pengguna per jenis masuk selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Info Masuk |
| Teknik MITRE ATT&CK: | T1110 - Brute Force |
Kembali ke daftar | Kembali ke atas
Percobaan brute force akun pengguna per alasan kegagalan
Deskripsi: Algoritma ini mendeteksi volume upaya masuk yang gagal yang luar biasa tinggi (ID peristiwa keamanan 4625) per akun pengguna per alasan kegagalan selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa keamanan Windows 21 hari sebelumnya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Info Masuk |
| Teknik MITRE ATT&CK: | T1110 - Brute Force |
Kembali ke daftar | Kembali ke atas
Mendeteksi perilaku suar jaringan yang dihasilkan mesin
Deskripsi: Algoritma ini mengidentifikasi pola suar dari log koneksi lalu lintas jaringan berdasarkan pola delta waktu berulang. Setiap koneksi jaringan terhadap jaringan publik yang tidak tepercaya pada delta waktu berulang adalah indikasi panggilan balik malware atau upaya penyelundupan data. Algoritma akan menghitung delta waktu antara koneksi jaringan berturut-turut antara IP sumber dan IP tujuan yang sama, serta jumlah koneksi dalam urutan delta waktu antara sumber dan tujuan yang sama. Persentase suar dihitung sebagai koneksi dalam urutan delta waktu terhadap total koneksi dalam sehari.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | CommonSecurityLog (PAN) |
| Taktik MITRE ATT&CK: | Perintah dan Kontrol |
| Teknik MITRE ATT&CK: | T1071 - Protokol Lapisan Aplikasi T1132 - Pengodean Data T1001 - Data Obfuscation T1568 - Resolusi Dinamis T1573 - Saluran Terenkripsi T1008 - Saluran Fallback T1104 - Saluran Multi-Tahap T1095 - Protokol Lapisan Non-Aplikasi T1571 - Port Non-Standar T1572 - Penerowongan Protokol T1090 - Proksi T1205 - Sinyal Lalu Lintas T1102 - Layanan Web |
Kembali ke daftar | Kembali ke atas
Algoritma pembuatan domain (DGA) pada domain DNS
Deskripsi: Model pembelajaran mesin ini menunjukkan domain DGA potensial dari hari terakhir dalam log DNS. Algoritma berlaku untuk rekaman DNS yang diselesaikan ke alamat IPv4 dan IPv6.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Peristiwa DNS |
| Taktik MITRE ATT&CK: | Perintah dan Kontrol |
| Teknik MITRE ATT&CK: | T1568 - Resolusi Dinamis |
Kembali ke daftar | Kembali ke atas
Unduhan Berlebihan melalui Palo Alto GlobalProtect
Deskripsi: Algoritma ini mendeteksi volume unduhan per akun pengguna yang sangat tinggi melalui solusi VPN Palo Alto. Model ini dilatih berdasarkan log VPN 14 hari sebelumnya. Ini menunjukkan volume unduhan anomali yang tinggi dalam sehari terakhir.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | CommonSecurityLog (PAN VPN) |
| Taktik MITRE ATT&CK: | Penyelundupan |
| Teknik MITRE ATT&CK: | T1030 - Batas Ukuran Transfer Data T1041 - Penyelundupan Melalui Saluran C2 T1011 - Penyelundupan Melalui Media Jaringan Lainnya T1567 - Penyelundupan Melalui Layanan Web T1029 - Transfer Terjadwal T1537 - Mentransfer Data ke Akun Cloud |
Kembali ke daftar | Kembali ke atas
Unggahan berlebihan melalui Palo Alto GlobalProtect
Deskripsi: Algoritma ini mendeteksi volume unggahan per akun pengguna yang sangat tinggi melalui solusi VPN Palo Alto. Model ini dilatih berdasarkan log VPN 14 hari sebelumnya. Ini menunjukkan volume unggahan anomali yang tinggi dalam sehari terakhir.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | CommonSecurityLog (PAN VPN) |
| Taktik MITRE ATT&CK: | Penyelundupan |
| Teknik MITRE ATT&CK: | T1030 - Batas Ukuran Transfer Data T1041 - Penyelundupan Melalui Saluran C2 T1011 - Penyelundupan Melalui Media Jaringan Lainnya T1567 - Penyelundupan Melalui Layanan Web T1029 - Transfer Terjadwal T1537 - Mentransfer Data ke Akun Cloud |
Kembali ke daftar | Kembali ke atas
Algoritma pembuatan domain (DGA) potensial pada Domain DNS tingkat berikutnya
Deskripsi: Model pembelajaran mesin ini menunjukkan domain tingkat berikutnya (tingkat ketiga dan ke atas) dari nama domain dari hari terakhir log DNS yang tidak biasa. Mereka berpotensi menjadi output dari algoritma pembuatan domain (DGA). Algoritma berlaku untuk rekaman DNS yang diselesaikan ke alamat IPv4 dan IPv6.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Peristiwa DNS |
| Taktik MITRE ATT&CK: | Perintah dan Kontrol |
| Teknik MITRE ATT&CK: | T1568 - Resolusi Dinamis |
Kembali ke daftar | Kembali ke atas
Volume panggilan AWS API yang mencurigakan dari alamat IP sumber Non-AWS
Deskripsi: Algoritma ini mendeteksi volume panggilan AWS API yang luar biasa tinggi per akun pengguna per ruang kerja, dari alamat IP sumber di luar rentang IP sumber AWS, dalam hari terakhir. Model ini dilatih berdasarkan peristiwa log AWS CloudTrail 21 hari sebelumnya oleh alamat IP sumber. Aktivitas ini dapat menunjukkan bahwa akun pengguna disusupi.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log AWS CloudTrail |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | Kembali ke atas
Volume panggilan API tulis AWS yang mencurigakan dari akun pengguna
Deskripsi: Algoritma ini mendeteksi volume panggilan AWS write API yang luar biasa tinggi per akun pengguna dalam sehari terakhir. Model ini dilatih berdasarkan peristiwa log AWS CloudTrail 21 hari sebelumnya oleh akun pengguna. Aktivitas ini dapat menunjukkan bahwa akun disusupi.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log AWS CloudTrail |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | Kembali ke atas
Volume masuk yang mencurigakan ke komputer
Deskripsi: Algoritma ini mendeteksi volume masuk yang berhasil yang luar biasa tinggi (ID peristiwa keamanan 4624) per komputer selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | Kembali ke atas
Volume masuk yang mencurigakan ke komputer dengan token yang lebih tinggi
Deskripsi: Algoritma ini mendeteksi volume login yang berhasil yang luar biasa tinggi (ID peristiwa keamanan 4624) dengan hak administratif, per komputer, selama hari terakhir. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | Kembali ke atas
Volume masuk yang mencurigakan ke akun pengguna
Deskripsi: Algoritma ini mendeteksi volume login yang berhasil yang luar biasa tinggi (ID peristiwa keamanan 4624) per akun pengguna selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | Kembali ke atas
Volume masuk yang mencurigakan ke akun pengguna berdasarkan jenis upaya masuk
Deskripsi: Algoritma ini mendeteksi volume login yang berhasil yang luar biasa tinggi (ID peristiwa keamanan 4624) per akun pengguna, dengan jenis masuk yang berbeda, selama sehari terakhir. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | Kembali ke atas
Volume masuk yang mencurigakan ke akun pengguna dengan token yang lebih tinggi
Deskripsi: Algoritma ini mendeteksi volume login yang berhasil yang luar biasa tinggi (ID peristiwa keamanan 4624) dengan hak administratif, per akun pengguna, selama hari terakhir. Model ini dilatih berdasarkan log peristiwa Keamanan Windows 21 hari sebelumnya.
| Atribut | Nilai |
|---|---|
| Jenis anomali: | Pembelajaran mesin yang dapat disesuaikan |
| Sumber data: | Log Keamanan Windows |
| Taktik MITRE ATT&CK: | Akses Awal |
| Teknik MITRE ATT&CK: | T1078 - Akun yang Valid |
Kembali ke daftar | Kembali ke atas
Langkah berikutnya
Pelajari tentang anomali yang dihasilkan pembelajaran mesin di Microsoft Azure Sentinel.
Pelajari cara bekerja dengan aturan anomali.
Selidiki insiden dengan Microsoft Azure Sentinel.