Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo elenca le anomalie rilevate da Microsoft Sentinel usando modelli di Machine Learning diversi.
Il rilevamento anomalie funziona analizzando il comportamento degli utenti in un ambiente in un periodo di tempo e creando una linea di base di attività legittime. Una volta stabilita la baseline, qualsiasi attività al di fuori dei parametri normali viene considerata anomale e pertanto sospetta.
Microsoft Sentinel usa due modelli diversi per creare linee di base e rilevare anomalie.
Nota
I rilevamenti anomalie seguenti vengono sospesi a partire dal 26 marzo 2024, a causa di una bassa qualità dei risultati:
- Anomalia Domain Reputation Palo Alto
- Accessi in più aree in un singolo giorno tramite Palo Alto GlobalProtect
Importante
Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, incluso per i clienti senza Microsoft Defender XDR o una licenza E5.
A partire da luglio 2026, Microsoft Sentinel sarà supportato solo nel portale di Defender e tutti i clienti rimanenti che usano il portale di Azure verranno reindirizzati automaticamente.
È consigliabile che tutti i clienti che usano Microsoft Sentinel in Azure inizino a pianificare la transizione al portale di Defender per l'esperienza completa delle operazioni di sicurezza unificata offerte da Microsoft Defender. Per altre informazioni, vedere Pianificazione del passaggio al portale di Microsoft Defender per tutti i clienti di Microsoft Sentinel.
Anomalie UEBA
UeBA di Sentinel rileva le anomalie in base alle baseline dinamiche create per ogni entità in diversi input di dati. Il comportamento di base di ogni entità viene impostato in base alle proprie attività cronologiche, a quelle dei peer e a quelle dell'intera organizzazione. Le anomalie possono essere attivate dalla correlazione di attributi diversi, ad esempio tipo di azione, posizione geografica, dispositivo, risorsa, ISP e altro ancora.
È necessario abilitare la funzionalità UEBA per rilevare le anomalie UEBA.
- Rimozione dell'accesso all'account anomalo
- Creazione di un account anomalo
- Eliminazione di un account anomalo
- Manipolazione di account anomale
- Esecuzione di codice anomalo (UEBA)
- Distruzione di dati anomali
- Modifica del meccanismo difensivo anomalo
- Accesso anomalo non riuscito
- Reimpostazione password anomale
- Privilegi anomali concessi
- Accesso anomalo
Rimozione dell'accesso all'account anomalo
Descrizione: Un utente malintenzionato può interrompere la disponibilità delle risorse di sistema e di rete bloccando l'accesso agli account usati dagli utenti legittimi. L'utente malintenzionato potrebbe eliminare, bloccare o modificare un account (ad esempio modificandone le credenziali) per rimuovere l'accesso.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log attività di Azure |
| Tattiche MITRE ATT&CK: | Impatto |
| Tecniche MITRE ATT&CK: | T1531 - Rimozione dell'accesso all'account |
| Attività: | Microsoft.Authorization/roleAssignments/delete Disconnetti |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Creazione di un account anomalo
Descrizione: Gli avversari possono creare un account per mantenere l'accesso ai sistemi di destinazione. Con un livello di accesso sufficiente, la creazione di tali account può essere usata per stabilire l'accesso con credenziali secondarie senza richiedere la distribuzione di strumenti di accesso remoto permanenti nel sistema.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di controllo di Microsoft Entra |
| Tattiche MITRE ATT&CK: | Persistenza |
| Tecniche MITRE ATT&CK: | T1136 - Creare un account |
| Tecniche secondarie MITRE ATT&CK: | Cloud Account |
| Attività: | Directory principale/UserManagement/Aggiungi utente |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Eliminazione di un account anomalo
Descrizione: Gli avversari possono interrompere la disponibilità delle risorse di sistema e di rete impedendo l'accesso agli account utilizzati dagli utenti legittimi. Gli account possono essere eliminati, bloccati o modificati (ad esempio, credenziali modificate) per rimuovere l'accesso agli account.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di controllo di Microsoft Entra |
| Tattiche MITRE ATT&CK: | Impatto |
| Tecniche MITRE ATT&CK: | T1531 - Rimozione dell'accesso all'account |
| Attività: | Directory principale/UtenteManagement/Elimina utente Directory principale/Dispositivo/Elimina utente Directory principale/UtenteManagement/Elimina utente |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Manipolazione di account anomale
Descrizione: Gli avversari possono modificare gli account per mantenere l'accesso ai sistemi di destinazione. Queste azioni includono l'aggiunta di nuovi account a gruppi con privilegi elevati. Dragonfly 2.0, ad esempio, ha aggiunto gli account appena creati al gruppo administrators per mantenere l'accesso con privilegi elevati. La query seguente genera un output di tutti gli utenti high-Blast Radius che eseguono "Aggiorna utente" (modifica del nome) al ruolo con privilegi o quelli che hanno modificato gli utenti per la prima volta.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di controllo di Microsoft Entra |
| Tattiche MITRE ATT&CK: | Persistenza |
| Tecniche MITRE ATT&CK: | T1098 - Manipolazione dell'account |
| Attività: | Directory principale/UtenteGestione/Aggiornamento utente |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Esecuzione di codice anomalo (UEBA)
Descrizione: Gli avversari possono abusare di interpreti di comandi e script per eseguire comandi, script o file binari. Queste interfacce e linguaggi forniscono modi per interagire con i sistemi informatici e sono una funzionalità comune in molte piattaforme diverse.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log attività di Azure |
| Tattiche MITRE ATT&CK: | Esecuzione |
| Tecniche MITRE ATT&CK: | T1059 - Interprete di comando e scripting |
| Tecniche secondarie MITRE ATT&CK: | PowerShell |
| Attività: | Microsoft.Compute/virtualMachines/runCommand/action |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Distruzione di dati anomali
Descrizione: Gli avversari possono distruggere i dati e i file in sistemi specifici o in un numero elevato in una rete per interrompere la disponibilità a sistemi, servizi e risorse di rete. È probabile che la distruzione dei dati esegua il rendering irreversibile dei dati archiviati tramite tecniche forensi tramite la sovrascrittura di file o dati su unità locali e remote.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log attività di Azure |
| Tattiche MITRE ATT&CK: | Impatto |
| Tecniche MITRE ATT&CK: | T1485 - Distruzione dei dati |
| Attività: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/immagini/elimina Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/elimina Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Modifica del meccanismo difensivo anomalo
Descrizione: Gli avversari possono disabilitare gli strumenti di sicurezza per evitare possibili rilevamenti degli strumenti e delle attività.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log attività di Azure |
| Tattiche MITRE ATT&CK: | Evasione delle difese |
| Tecniche MITRE ATT&CK: | T1562 - Difesa compromessa |
| Tecniche secondarie MITRE ATT&CK: | Disabilitare o modificare gli strumenti Disabilitare o modificare Il firewall cloud |
| Attività: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/elimina Microsoft.Network/azurefirewalls/delete |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Accesso anomalo non riuscito
Descrizione: Gli avversari che non conoscino in precedenza delle credenziali legittime all'interno del sistema o dell'ambiente possono indovinare le password per tentare l'accesso agli account.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di accesso Microsoft Entra log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso tramite credenziali |
| Tecniche MITRE ATT&CK: | T1110 - Forza bruta |
| Attività: |
ID Microsoft Entra: Attività di accesso Sicurezza di Windows: Accesso non riuscito (ID evento 4625) |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Reimpostazione password anomale
Descrizione: Gli avversari possono interrompere la disponibilità delle risorse di sistema e di rete impedendo l'accesso agli account utilizzati dagli utenti legittimi. Gli account possono essere eliminati, bloccati o modificati (ad esempio, credenziali modificate) per rimuovere l'accesso agli account.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di controllo di Microsoft Entra |
| Tattiche MITRE ATT&CK: | Impatto |
| Tecniche MITRE ATT&CK: | T1531 - Rimozione dell'accesso all'account |
| Attività: | Directory principale/UserManagement/Reimpostazione password utente |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Privilegi anomali concessi
Descrizione: Gli avversari possono aggiungere credenziali controllate da avversari per le entità servizio di Azure oltre alle credenziali legittime esistenti per mantenere l'accesso permanente agli account Azure vittima.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di controllo di Microsoft Entra |
| Tattiche MITRE ATT&CK: | Persistenza |
| Tecniche MITRE ATT&CK: | T1098 - Manipolazione dell'account |
| Tecniche secondarie MITRE ATT&CK: | Credenziali aggiuntive dell'entità servizio di Azure |
| Attività: | Provisioning dell'account/Gestione applicazioni/Aggiungere un'assegnazione di ruolo dell'app all'entità servizio |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Accesso anomalo
Descrizione: Gli avversari possono rubare le credenziali di un account utente o di un servizio specifico usando tecniche di accesso alle credenziali o acquisire le credenziali in precedenza nel processo di ricognizione tramite ingegneria sociale per ottenere la persistenza.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di accesso Microsoft Entra log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Persistenza |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
| Attività: |
ID Microsoft Entra: Attività di accesso Sicurezza di Windows: Accesso riuscito (ID evento 4624) |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Anomalie basate su Machine Learning
Le anomalie personalizzabili basate su Machine Learning di Microsoft Sentinel possono identificare un comportamento anomalo con i modelli di regole di analisi che possono essere messi a disposizione per funzionare immediatamente. Anche se le anomalie non indicano necessariamente comportamenti dannosi o addirittura sospetti da soli, possono essere usate per migliorare rilevamenti, indagini e ricerca di minacce.
- Operazioni anomale di Azure
- Esecuzione di codice anomalo
- Creazione di un account locale anomalo
- Attività utente anomale in Office Exchange
- Tentativo di forza bruta del computer
- Tentativo di forza bruta dell'account utente
- Tentativo di forza bruta dell'account utente per tipo di accesso
- Tentativo di forza bruta dell'account utente per ogni motivo di errore
- Rilevare il comportamento di network beaconing generato dal computer
- Algoritmo di generazione del dominio (DGA) nei domini DNS
- Download eccessivi tramite Palo Alto GlobalProtect
- Caricamenti eccessivi tramite Palo Alto GlobalProtect
- Potenziale algoritmo di generazione di domini (DGA) nei domini DNS di livello successivo
- Volume sospetto di chiamate API AWS dall'indirizzo IP di origine non AWS
- Volume sospetto di chiamate API di scrittura AWS da un account utente
- Volume sospetto di account di accesso al computer
- Volume sospetto di account di accesso al computer con token con privilegi elevati
- Volume sospetto di account di accesso all'account utente
- Volume sospetto di account di accesso all'account utente in base ai tipi di accesso
- Volume sospetto di account di accesso all'account utente con token con privilegi elevati
Operazioni anomale di Azure
Descrizione: Questo algoritmo di rilevamento raccoglie 21 giorni di dati sulle operazioni di Azure raggruppate per utente per eseguire il training di questo modello di Machine Learning. L'algoritmo genera quindi anomalie nel caso di utenti che hanno eseguito sequenze di operazioni non comuni nelle aree di lavoro. Il modello di Machine Learning sottoposto a training assegna un punteggio alle operazioni eseguite dall'utente e considera anomale quelle il cui punteggio è maggiore della soglia definita.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log attività di Azure |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1190 - Applicazione di exploit Public-Facing |
Tornare all'elenco | Torna all'inizio
Esecuzione anomala del codice
Descrizione: Gli utenti malintenzionati possono abusare di interpreti di script e comandi per eseguire comandi, script o file binari. Queste interfacce e linguaggi forniscono modi per interagire con i sistemi informatici e sono una funzionalità comune in molte piattaforme diverse.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log attività di Azure |
| Tattiche MITRE ATT&CK: | Esecuzione |
| Tecniche MITRE ATT&CK: | T1059 - Interprete di comando e scripting |
Tornare all'elenco | Torna all'inizio
Creazione di un account locale anomalo
Descrizione: Questo algoritmo rileva la creazione di account locali anomali nei sistemi Windows. Gli utenti malintenzionati possono creare account locali per mantenere l'accesso ai sistemi di destinazione. Questo algoritmo analizza l'attività di creazione dell'account locale nei 14 giorni precedenti dagli utenti. Cerca un'attività simile nel giorno corrente dagli utenti che non sono stati precedentemente visti nell'attività cronologica. È possibile specificare un elenco di elementi consentiti per filtrare gli utenti noti dall'attivazione di questa anomalia.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Persistenza |
| Tecniche MITRE ATT&CK: | T1136 - Creare un account |
Tornare all'elenco | Torna all'inizio
Attività utente anomale in Office Exchange
Descrizione: Questo modello di Machine Learning raggruppa i log di Office Exchange su base utente in bucket orari. Definiamo un'ora come sessione. Il training del modello viene eseguito nei 7 giorni precedenti del comportamento in tutti gli utenti normali (non amministratori). Indica sessioni anomale di Office Exchange dell'utente nell'ultimo giorno.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log attività di Office (Exchange) |
| Tattiche MITRE ATT&CK: | Persistenza Raccolta |
| Tecniche MITRE ATT&CK: |
Collezione: T1114 - Raccolta di messaggi di posta elettronica T1213 - Dati dai repository di informazioni Persistenza: T1098 - Manipolazione dell'account T1136 - Creare un account T1137 - Avvio dell'applicazione Office T1505 - Componente software server |
Tornare all'elenco | Torna all'inizio
Tentativo di forza bruta del computer
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per ogni computer nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei registri eventi di sicurezza di Windows.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso tramite credenziali |
| Tecniche MITRE ATT&CK: | T1110 - Forza bruta |
Tornare all'elenco | Torna all'inizio
Tentativo di forza bruta dell'account utente
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per ogni account utente nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei registri eventi di sicurezza di Windows.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso tramite credenziali |
| Tecniche MITRE ATT&CK: | T1110 - Forza bruta |
Tornare all'elenco | Torna all'inizio
Tentativo di forza bruta dell'account utente per tipo di accesso
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per ogni account utente per tipo di accesso nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei registri eventi di sicurezza di Windows.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso tramite credenziali |
| Tecniche MITRE ATT&CK: | T1110 - Forza bruta |
Tornare all'elenco | Torna all'inizio
Tentativo di forza bruta dell'account utente per ogni motivo di errore
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per ogni account utente per motivo di errore nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei registri eventi di sicurezza di Windows.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso tramite credenziali |
| Tecniche MITRE ATT&CK: | T1110 - Forza bruta |
Tornare all'elenco | Torna all'inizio
Rilevare il comportamento di network beaconing generato dal computer
Descrizione: Questo algoritmo identifica i modelli di beaconing dai log di connessione del traffico di rete in base a modelli differenziali temporali ricorrenti. Qualsiasi connessione di rete verso reti pubbliche non attendibili in delta temporali ripetitivi è un'indicazione di callback malware o tentativi di esfiltrazione di dati. L'algoritmo calcolerà il delta temporale tra le connessioni di rete consecutive tra lo stesso indirizzo IP di origine e l'INDIRIZZO IP di destinazione, nonché il numero di connessioni in una sequenza delta temporale tra le stesse origini e destinazioni. La percentuale di beaconing viene calcolata come connessioni nella sequenza delta temporale rispetto alle connessioni totali in un giorno.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | CommonSecurityLog (PAN) |
| Tattiche MITRE ATT&CK: | Comando e controllo |
| Tecniche MITRE ATT&CK: | T1071 - Protocollo livello applicazione T1132 - Codifica dei dati T1001 - Offuscamento dei dati T1568 - Risoluzione dinamica T1573 - Canale crittografato T1008 - Canali di fallback T1104 - Canali a più fasi T1095 - Protocollo di livello non applicazione T1571 - Porta non standard T1572 - Tunneling del protocollo T1090 - Proxy T1205 - Segnalazione del traffico T1102 - Servizio Web |
Tornare all'elenco | Torna all'inizio
Algoritmo di generazione del dominio (DGA) nei domini DNS
Descrizione: Questo modello di Machine Learning indica i potenziali domini DGA dell'ultimo giorno nei log DNS. L'algoritmo si applica ai record DNS che si risolvono in indirizzi IPv4 e IPv6.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Eventi DNS |
| Tattiche MITRE ATT&CK: | Comando e controllo |
| Tecniche MITRE ATT&CK: | T1568 - Risoluzione dinamica |
Tornare all'elenco | Torna all'inizio
Download eccessivi tramite Palo Alto GlobalProtect
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di download per account utente tramite la soluzione VPN Palo Alto. Il training del modello viene eseguito nei 14 giorni precedenti dei log VPN. Indica un volume elevato anomalo di download nell'ultimo giorno.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | CommonSecurityLog (PAN VPN) |
| Tattiche MITRE ATT&CK: | Esfiltrazione |
| Tecniche MITRE ATT&CK: | T1030 - Limiti delle dimensioni del trasferimento dei dati T1041 - Esfiltrazione su canale C2 T1011 - Esfiltrazione su altri supporti di rete T1567 - Esfiltrazione su servizio Web T1029 - Trasferimento pianificato T1537 - Trasferire i dati nell'account cloud |
Tornare all'elenco | Torna all'inizio
Caricamenti eccessivi tramite Palo Alto GlobalProtect
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di caricamento per account utente tramite la soluzione VPN Palo Alto. Il training del modello viene eseguito nei 14 giorni precedenti dei log VPN. Indica un volume elevato anomalo di caricamento nell'ultimo giorno.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | CommonSecurityLog (PAN VPN) |
| Tattiche MITRE ATT&CK: | Esfiltrazione |
| Tecniche MITRE ATT&CK: | T1030 - Limiti delle dimensioni del trasferimento dei dati T1041 - Esfiltrazione su canale C2 T1011 - Esfiltrazione su altri supporti di rete T1567 - Esfiltrazione su servizio Web T1029 - Trasferimento pianificato T1537 - Trasferire i dati nell'account cloud |
Tornare all'elenco | Torna all'inizio
Potenziale algoritmo di generazione di domini (DGA) nei domini DNS di livello successivo
Descrizione: Questo modello di Machine Learning indica i domini di livello successivo (di terzo livello e superiore) dei nomi di dominio dell'ultimo giorno dei log DNS insoliti. Potrebbero potenzialmente essere l'output di un algoritmo di generazione di dominio ( DGA). L'anomalia si applica ai record DNS che si risolvono negli indirizzi IPv4 e IPv6.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Eventi DNS |
| Tattiche MITRE ATT&CK: | Comando e controllo |
| Tecniche MITRE ATT&CK: | T1568 - Risoluzione dinamica |
Tornare all'elenco | Torna all'inizio
Volume sospetto di chiamate API AWS dall'indirizzo IP di origine non AWS
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di chiamate API AWS per ogni account utente per area di lavoro, dagli indirizzi IP di origine all'esterno degli intervalli IP di origine di AWS, all'interno dell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti degli eventi di log di AWS CloudTrail in base all'indirizzo IP di origine. Questa attività può indicare che l'account utente è compromesso.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log di AWS CloudTrail |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Tornare all'elenco | Torna all'inizio
Volume sospetto di chiamate API di scrittura AWS da un account utente
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di chiamate API di scrittura AWS per account utente nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti degli eventi di log di AWS CloudTrail in base all'account utente. Questa attività può indicare che l'account è compromesso.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log di AWS CloudTrail |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Tornare all'elenco | Torna all'inizio
Volume sospetto di account di accesso al computer
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) per computer nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Sicurezza di Windows registri eventi.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Tornare all'elenco | Torna all'inizio
Volume sospetto di account di accesso al computer con token con privilegi elevati
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) con privilegi amministrativi, per computer, nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Sicurezza di Windows registri eventi.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Tornare all'elenco | Torna all'inizio
Volume sospetto di account di accesso all'account utente
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) per ogni account utente nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Sicurezza di Windows registri eventi.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Tornare all'elenco | Torna all'inizio
Volume sospetto di account di accesso all'account utente in base ai tipi di accesso
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) per account utente, in base a tipi di accesso diversi, nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Sicurezza di Windows registri eventi.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Tornare all'elenco | Torna all'inizio
Volume sospetto di account di accesso all'account utente con token con privilegi elevati
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) con privilegi amministrativi, per account utente, nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Sicurezza di Windows registri eventi.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Tornare all'elenco | Torna all'inizio
Passaggi successivi
Informazioni sulle anomalie generate da Machine Learning in Microsoft Sentinel.
Informazioni su come usare le regole di anomalia.
Analizzare gli eventi imprevisti con Microsoft Sentinel.