Anomalie rilevate dal motore di Machine Learning di Microsoft Sentinel
Questo articolo elenca le anomalie rilevate da Microsoft Sentinel usando modelli di Machine Learning diversi.
Il rilevamento anomalie funziona analizzando il comportamento degli utenti in un ambiente in un periodo di tempo e creando una linea di base di attività legittime. Una volta stabilita la baseline, qualsiasi attività al di fuori dei parametri normali viene considerata anomale e pertanto sospetta.
Microsoft Sentinel usa due modelli diversi per creare linee di base e rilevare anomalie.
Nota
I rilevamenti anomalie seguenti vengono sospesi a partire dal 26 marzo 2024, a causa di una bassa qualità dei risultati:
- Reputazione di dominio Palo Alto anomalie
- Accessi in più aree in un singolo giorno tramite Palo Alto GlobalProtect
Importante
Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Anomalie UEBA
UeBA di Sentinel rileva le anomalie in base alle baseline dinamiche create per ogni entità in diversi input di dati. Il comportamento di base di ogni entità viene impostato in base alle proprie attività cronologiche, a quelle dei peer e a quelle dell'intera organizzazione. Le anomalie possono essere attivate dalla correlazione di attributi diversi, ad esempio tipo di azione, posizione geografica, dispositivo, risorsa, ISP e altro ancora.
È necessario abilitare la funzionalità UEBA per rilevare le anomalie UEBA.
- Rimozione dell'accesso all'account anomalo
- Creazione di un account anomalo
- Eliminazione di un account anomalo
- Manipolazione di account anomale
- Esecuzione di codice anomalo (UEBA)
- Distruzione di dati anomali
- Modifica del meccanismo difensivo anomalo
- Accesso anomalo non riuscito
- Reimpostazione password anomale
- Privilegi anomali concessi
- Accesso anomalo
Rimozione dell'accesso all'account anomalo
Descrizione: un utente malintenzionato può interrompere la disponibilità delle risorse di sistema e di rete bloccando l'accesso agli account usati dagli utenti legittimi. L'utente malintenzionato potrebbe eliminare, bloccare o modificare un account (ad esempio modificandone le credenziali) per rimuovere l'accesso.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log attività di Azure |
| Tattiche MITRE ATT&CK: | Impatto |
| Tecniche MITRE ATT&CK: | T1531 - Rimozione dell'accesso all'account |
| Attività: | Microsoft.Authorization/roleAssignments/delete Disconnetti |
Torna all'elenco | anomalie UEBA Torna all'inizio
Creazione di un account anomalo
Descrizione: gli avversari possono creare un account per mantenere l'accesso ai sistemi di destinazione. Con un livello di accesso sufficiente, la creazione di tali account può essere usata per stabilire l'accesso con credenziali secondarie senza richiedere la distribuzione di strumenti di accesso remoto permanenti nel sistema.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di controllo di Microsoft Entra |
| Tattiche MITRE ATT&CK: | Persistenza |
| Tecniche MITRE ATT&CK: | T1136 - Creare un account |
| Tecniche secondarie MITRE ATT&CK: | Cloud Account |
| Attività: | Directory principale/UserManagement/Aggiungi utente |
Torna all'elenco | anomalie UEBA Torna all'inizio
Eliminazione di un account anomalo
Descrizione: gli avversari possono interrompere la disponibilità delle risorse di sistema e di rete impedendo l'accesso agli account utilizzati da utenti legittimi. Gli account possono essere eliminati, bloccati o modificati (ad esempio, credenziali modificate) per rimuovere l'accesso agli account.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di controllo di Microsoft Entra |
| Tattiche MITRE ATT&CK: | Impatto |
| Tecniche MITRE ATT&CK: | T1531 - Rimozione dell'accesso all'account |
| Attività: | Directory principale/UtenteManagement/Elimina utente Directory principale/Dispositivo/Elimina utente Directory principale/UtenteManagement/Elimina utente |
Torna all'elenco | anomalie UEBA Torna all'inizio
Manipolazione di account anomale
Descrizione: gli avversari possono modificare gli account per mantenere l'accesso ai sistemi di destinazione. Queste azioni includono l'aggiunta di nuovi account a gruppi con privilegi elevati. Dragonfly 2.0, ad esempio, ha aggiunto gli account appena creati al gruppo administrators per mantenere l'accesso con privilegi elevati. La query seguente genera un output di tutti gli utenti high-Blast Radius che eseguono "Aggiorna utente" (modifica del nome) al ruolo con privilegi o quelli che hanno modificato gli utenti per la prima volta.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di controllo di Microsoft Entra |
| Tattiche MITRE ATT&CK: | Persistenza |
| Tecniche MITRE ATT&CK: | T1098 - Manipolazione dell'account |
| Attività: | Directory principale/UtenteGestione/Aggiornamento utente |
Torna all'elenco | anomalie UEBA Torna all'inizio
Esecuzione di codice anomalo (UEBA)
Descrizione: gli avversari possono abusare di interpreti di comandi e script per eseguire comandi, script o file binari. Queste interfacce e linguaggi forniscono modi per interagire con i sistemi informatici e sono una funzionalità comune in molte piattaforme diverse.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log attività di Azure |
| Tattiche MITRE ATT&CK: | Esecuzione |
| Tecniche MITRE ATT&CK: | T1059 - Interprete di comando e scripting |
| Tecniche secondarie MITRE ATT&CK: | PowerShell |
| Attività: | Microsoft.Compute/virtualMachines/runCommand/action |
Torna all'elenco | anomalie UEBA Torna all'inizio
Distruzione di dati anomali
Descrizione: gli avversari possono distruggere i dati e i file in sistemi specifici o in numeri elevati in una rete per interrompere la disponibilità a sistemi, servizi e risorse di rete. È probabile che la distruzione dei dati esegua il rendering irreversibile dei dati archiviati tramite tecniche forensi tramite la sovrascrittura di file o dati su unità locali e remote.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log attività di Azure |
| Tattiche MITRE ATT&CK: | Impatto |
| Tecniche MITRE ATT&CK: | T1485 - Distruzione dei dati |
| Attività: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Torna all'elenco | anomalie UEBA Torna all'inizio
Modifica del meccanismo difensivo anomalo
Descrizione: gli avversari possono disabilitare gli strumenti di sicurezza per evitare possibili rilevamenti degli strumenti e delle attività.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log attività di Azure |
| Tattiche MITRE ATT&CK: | Evasione delle difese |
| Tecniche MITRE ATT&CK: | T1562 - Difesa compromessa |
| Tecniche secondarie MITRE ATT&CK: | Disabilitare o modificare gli strumenti Disabilitare o modificare Il firewall cloud |
| Attività: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Torna all'elenco | anomalie UEBA Torna all'inizio
Accesso anomalo non riuscito
Descrizione: gli avversari che non conoscino in precedenza delle credenziali legittime all'interno del sistema o dell'ambiente potrebbero indovinare le password per tentare l'accesso agli account.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di accesso Microsoft Entra log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso tramite credenziali |
| Tecniche MITRE ATT&CK: | T1110 - Forza bruta |
| Attività: | Microsoft Entra ID: attività di accesso Sicurezza di Windows: Accesso non riuscito (ID evento 4625) |
Torna all'elenco | anomalie UEBA Torna all'inizio
Reimpostazione password anomale
Descrizione: gli avversari possono interrompere la disponibilità delle risorse di sistema e di rete impedendo l'accesso agli account utilizzati da utenti legittimi. Gli account possono essere eliminati, bloccati o modificati (ad esempio, credenziali modificate) per rimuovere l'accesso agli account.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di controllo di Microsoft Entra |
| Tattiche MITRE ATT&CK: | Impatto |
| Tecniche MITRE ATT&CK: | T1531 - Rimozione dell'accesso all'account |
| Attività: | Directory principale/UserManagement/Reimpostazione password utente |
Torna all'elenco | anomalie UEBA Torna all'inizio
Privilegi anomali concessi
Descrizione: gli avversari possono aggiungere credenziali controllate da avversari per le entità servizio di Azure oltre alle credenziali legittime esistenti per mantenere l'accesso permanente agli account Azure vittima.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di controllo di Microsoft Entra |
| Tattiche MITRE ATT&CK: | Persistenza |
| Tecniche MITRE ATT&CK: | T1098 - Manipolazione dell'account |
| Tecniche secondarie MITRE ATT&CK: | Credenziali aggiuntive dell'entità servizio di Azure |
| Attività: | Provisioning dell'account/Gestione applicazioni/Aggiungere un'assegnazione di ruolo dell'app all'entità servizio |
Torna all'elenco | anomalie UEBA Torna all'inizio
Accesso anomalo
Descrizione: gli avversari possono rubare le credenziali di un account utente o di servizio specifico usando tecniche di accesso alle credenziali o acquisire le credenziali in precedenza nel processo di ricognizione tramite ingegneria sociale per ottenere la persistenza.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di accesso Microsoft Entra log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Persistenza |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
| Attività: | Microsoft Entra ID: attività di accesso Sicurezza di Windows: Accesso riuscito (ID evento 4624) |
Torna all'elenco | anomalie UEBA Torna all'inizio
Anomalie basate su Machine Learning
Le anomalie personalizzabili basate su Machine Learning di Microsoft Sentinel possono identificare un comportamento anomalo con i modelli di regole di analisi che possono essere messi a disposizione per funzionare immediatamente. Anche se le anomalie non indicano necessariamente comportamenti dannosi o addirittura sospetti da soli, possono essere usate per migliorare rilevamenti, indagini e ricerca di minacce.
- Sessioni di accesso anomale di Microsoft Entra
- Operazioni anomale di Azure
- Esecuzione di codice anomalo
- Creazione di un account locale anomalo
- Attività di analisi anomale
- Attività utente anomale in Office Exchange
- Attività anomale di utenti/app nei log di controllo di Azure
- Attività dei log W3CIIS anomale
- Attività di richiesta Web anomale
- Tentativo di forza bruta del computer
- Tentativo di forza bruta dell'account utente
- Tentativo di forza bruta dell'account utente per tipo di accesso
- Tentativo di forza bruta dell'account utente per ogni motivo di errore
- Rilevare il comportamento di network beaconing generato dal computer
- Algoritmo di generazione del dominio (DGA) nei domini DNS
- Reputazione di dominio Palo Alto anomalia (DISCONTINUED)
- Anomalia di trasferimento eccessivo dei dati
- Download eccessivi tramite Palo Alto GlobalProtect
- Caricamenti eccessivi tramite Palo Alto GlobalProtect
- Accedere da un'area insolita tramite gli account di Palo Alto GlobalProtect
- Accessi in più aree in un singolo giorno tramite Palo Alto GlobalProtect (DISCONTINUED)
- Gestione temporanea dei dati potenziale
- Potenziale algoritmo di generazione di domini (DGA) nei domini DNS di livello successivo
- Modifica geografica sospetta negli account di Palo Alto GlobalProtect
- Numero sospetto di documenti protetti a cui si accede
- Volume sospetto di chiamate API AWS dall'indirizzo IP di origine non AWS
- Volume sospetto degli eventi di log di AWS CloudTrail dell'account utente del gruppo da EventTypeName
- Volume sospetto di chiamate API di scrittura AWS da un account utente
- Volume sospetto di tentativi di accesso non riusciti a AWS Console da ogni account utente del gruppo
- Volume sospetto di tentativi di accesso non riusciti a AWS Console da ogni indirizzo IP di origine
- Volume sospetto di account di accesso al computer
- Volume sospetto di account di accesso al computer con token con privilegi elevati
- Volume sospetto di account di accesso all'account utente
- Volume sospetto di account di accesso all'account utente in base ai tipi di accesso
- Volume sospetto di account di accesso all'account utente con token con privilegi elevati
- Rilevato allarme anomalo del firewall esterno
- Etichetta AIP di downgrade di massa insolita
- Comunicazione di rete insolita su porte di uso comune
- Anomalia del volume di rete
- Traffico Web insolito rilevato con IP nel percorso URL
Sessioni di accesso anomale di Microsoft Entra
Descrizione: il modello di Machine Learning raggruppa i log di accesso di Microsoft Entra in base all'utente. Il training del modello viene eseguito nei 6 giorni precedenti del comportamento di accesso dell'utente. Indica sessioni di accesso utente anomale nell'ultimo giorno.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log di accesso Microsoft Entra |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi T1566 - Phishing T1133 - Servizi remoti esterni |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Operazioni anomale di Azure
Descrizione: questo algoritmo di rilevamento raccoglie 21 giorni di dati sulle operazioni di Azure raggruppate per utente per eseguire il training di questo modello di Machine Learning. L'algoritmo genera quindi anomalie nel caso di utenti che hanno eseguito sequenze di operazioni non comuni nelle aree di lavoro. Il modello di Machine Learning sottoposto a training assegna un punteggio alle operazioni eseguite dall'utente e considera anomale quelle il cui punteggio è maggiore della soglia definita.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log attività di Azure |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1190 - Exploit Public-Facing Application |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Esecuzione anomala del codice
Descrizione: gli utenti malintenzionati possono abusare di interpreti di comandi e script per eseguire comandi, script o file binari. Queste interfacce e linguaggi forniscono modi per interagire con i sistemi informatici e sono una funzionalità comune in molte piattaforme diverse.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log attività di Azure |
| Tattiche MITRE ATT&CK: | Esecuzione |
| Tecniche MITRE ATT&CK: | T1059 - Interprete di comando e scripting |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Creazione di un account locale anomalo
Descrizione: questo algoritmo rileva la creazione di account locali anomali nei sistemi Windows. Gli utenti malintenzionati possono creare account locali per mantenere l'accesso ai sistemi di destinazione. Questo algoritmo analizza l'attività di creazione dell'account locale nei 14 giorni precedenti dagli utenti. Cerca un'attività simile nel giorno corrente dagli utenti che non sono stati precedentemente visti nell'attività cronologica. È possibile specificare un elenco di elementi consentiti per filtrare gli utenti noti dall'attivazione di questa anomalia.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Persistenza |
| Tecniche MITRE ATT&CK: | T1136 - Creare un account |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Attività di analisi anomale
Descrizione: questo algoritmo cerca l'attività di analisi delle porte, proveniente da un singolo indirizzo IP di origine a uno o più indirizzi IP di destinazione, che normalmente non viene visualizzato in un determinato ambiente.
L'algoritmo prende in considerazione se l'indirizzo IP è pubblico/esterno o privato/interno e l'evento viene contrassegnato di conseguenza. Attualmente viene considerata solo l'attività da privata a pubblica o pubblica a privata. L'attività di analisi può indicare un utente malintenzionato che tenta di determinare i servizi disponibili in un ambiente potenzialmente sfruttato e usato per l'ingresso o lo spostamento laterale. Un numero elevato di porte di origine e un numero elevato di porte di destinazione da un singolo INDIRIZZO IP di origine a un indirizzo IP o IP di destinazione singolo o a più indirizzi IP possono essere interessanti e indicare un'analisi anomala. Inoltre, se esiste un rapporto elevato tra gli INDIRIZZI IP di destinazione e l'INDIRIZZO IP di origine singolo, ciò può indicare un'analisi anomala.
Dettagli di configurazione:
- Il valore predefinito dell'esecuzione del processo è giornaliero, con contenitori orari.
L'algoritmo usa le impostazioni predefinite configurabili seguenti per limitare i risultati in base ai bin orari. - Azioni del dispositivo incluse: accettare, consentire, avviare
- Porte escluse - 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
- Numero di >porte di destinazione distinte = 600
- Numero di >porte di origine distinte = 600
- Numero di porte di origine distinte diviso per porta di destinazione distinta, rapporto convertito in percentuale >= 99,99
- IP di origine (sempre 1) diviso per IP di destinazione, rapporto convertito in percentuale >= 99,99
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Tattiche MITRE ATT&CK: | Individuazione |
| Tecniche MITRE ATT&CK: | T1046 - Analisi del servizio di rete |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Attività utente anomale in Office Exchange
Descrizione: questo modello di Machine Learning raggruppa i log di Office Exchange su base utente in bucket orari. Definiamo un'ora come sessione. Il training del modello viene eseguito nei 7 giorni precedenti del comportamento in tutti gli utenti normali (non amministratori). Indica sessioni anomale di Office Exchange dell'utente nell'ultimo giorno.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log attività di Office (Exchange) |
| Tattiche MITRE ATT&CK: | Persistenza Raccolta |
| Tecniche MITRE ATT&CK: | Collezione: T1114 - Raccolta di messaggi di posta elettronica T1213 - Dati dai repository di informazioni Persistence: T1098 - Manipolazione dell'account T1136 - Creare un account T1137 - Avvio dell'applicazione Office T1505 - Componente software server |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Attività anomale di utenti/app nei log di controllo di Azure
Descrizione: questo algoritmo identifica le sessioni anomale utente/app di Azure nei log di controllo per l'ultimo giorno, in base al comportamento dei 21 giorni precedenti in tutti gli utenti e le app. L'algoritmo verifica la disponibilità di un volume di dati sufficiente prima del training del modello.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log di controllo di Microsoft Entra |
| Tattiche MITRE ATT&CK: | Raccolta Individuazione Accesso iniziale Persistenza Escalation dei privilegi |
| Tecniche MITRE ATT&CK: | Collezione: T1530 - Dati dall'oggetto cloud Archiviazione Individuazione: T1087 - Individuazione account T1538 - Dashboard del servizio cloud T1526 - Cloud Service Discovery T1069 - Individuazione gruppi di autorizzazioni T1518 - Individuazione software Accesso iniziale: T1190 - Exploit Public-Facing Application T1078 - Account validi Persistence: T1098 - Manipolazione dell'account T1136 - Creare un account T1078 - Account validi Escalation dei privilegi: T1484 - Modifica dei criteri di dominio T1078 - Account validi |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Attività dei log W3CIIS anomale
Descrizione: questo algoritmo di Machine Learning indica sessioni IIS anomale nell'ultimo giorno. Acquisisce, ad esempio, un numero insolitamente elevato di query URI distinte, agenti utente o log in una sessione o di verbi HTTP o stati HTTP specifici in una sessione. L'algoritmo identifica eventi W3CIISLog insoliti entro una sessione oraria, raggruppati per nome del sito e IP client. Il training del modello viene eseguito nei 7 giorni precedenti dell'attività IIS. L'algoritmo controlla un volume sufficiente di attività IIS prima di eseguire il training del modello.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log W3CIIS |
| Tattiche MITRE ATT&CK: | Accesso iniziale Persistenza |
| Tecniche MITRE ATT&CK: | Accesso iniziale: T1190 - Exploit Public-Facing Application Persistence: T1505 - Componente software server |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Attività di richiesta Web anomale
Descrizione: questo algoritmo raggruppa gli eventi W3CIISLog in sessioni orarie raggruppate in base al nome del sito e all'URI stem. Il modello di Machine Learning identifica le sessioni con numeri insolitamente elevati di richieste che hanno attivato codici di risposta di classe 5xx nell'ultimo giorno. I codici di classe 5xx indicano che alcune condizioni di instabilità o errore dell'applicazione sono state attivate dalla richiesta. Possono essere un'indicazione che un utente malintenzionato sta eseguendo il probe dell'URI per individuare vulnerabilità e problemi di configurazione, eseguendo alcune attività di sfruttamento, ad esempio SQL injection o sfruttando una vulnerabilità senza patch. Questo algoritmo usa 6 giorni di dati per il training.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log W3CIIS |
| Tattiche MITRE ATT&CK: | Accesso iniziale Persistenza |
| Tecniche MITRE ATT&CK: | Accesso iniziale: T1190 - Exploit Public-Facing Application Persistence: T1505 - Componente software server |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Tentativo di forza bruta del computer
Descrizione: questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per computer nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei registri eventi di sicurezza di Windows.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso tramite credenziali |
| Tecniche MITRE ATT&CK: | T1110 - Forza bruta |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Tentativo di forza bruta dell'account utente
Descrizione: questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per ogni account utente nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei registri eventi di sicurezza di Windows.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso tramite credenziali |
| Tecniche MITRE ATT&CK: | T1110 - Forza bruta |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Tentativo di forza bruta dell'account utente per tipo di accesso
Descrizione: questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per ogni account utente per tipo di accesso nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei registri eventi di sicurezza di Windows.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso tramite credenziali |
| Tecniche MITRE ATT&CK: | T1110 - Forza bruta |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Tentativo di forza bruta dell'account utente per ogni motivo di errore
Descrizione: questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per ogni account utente per ogni motivo di errore nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei registri eventi di sicurezza di Windows.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso tramite credenziali |
| Tecniche MITRE ATT&CK: | T1110 - Forza bruta |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Rilevare il comportamento di network beaconing generato dal computer
Descrizione: questo algoritmo identifica i modelli di beaconing dai log di connessione del traffico di rete in base a modelli differenziali temporali ricorrenti. Qualsiasi connessione di rete verso reti pubbliche non attendibili in delta temporali ripetitivi è un'indicazione di callback malware o tentativi di esfiltrazione di dati. L'algoritmo calcolerà il delta temporale tra le connessioni di rete consecutive tra lo stesso indirizzo IP di origine e l'INDIRIZZO IP di destinazione, nonché il numero di connessioni in una sequenza delta temporale tra le stesse origini e destinazioni. La percentuale di beaconing viene calcolata come connessioni nella sequenza delta temporale rispetto alle connessioni totali in un giorno.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | CommonSecurityLog (PAN) |
| Tattiche MITRE ATT&CK: | Comando e controllo |
| Tecniche MITRE ATT&CK: | T1071 - Protocollo livello applicazione T1132 - Codifica dei dati T1001 - Offuscamento dei dati T1568 - Risoluzione dinamica T1573 - Canale crittografato T1008 - Canali di fallback T1104 - Canali a più fasi T1095 - Protocollo di livello non applicazione T1571 - Porta non standard T1572 - Tunneling del protocollo T1090 - Proxy T1205 - Segnalazione del traffico T1102 - Servizio Web |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Algoritmo di generazione del dominio (DGA) nei domini DNS
Descrizione: questo modello di Machine Learning indica i potenziali domini DGA dell'ultimo giorno nei log DNS. L'algoritmo si applica ai record DNS che si risolvono in indirizzi IPv4 e IPv6.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Eventi DNS |
| Tattiche MITRE ATT&CK: | Comando e controllo |
| Tecniche MITRE ATT&CK: | T1568 - Risoluzione dinamica |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Reputazione di dominio Palo Alto anomalia (DISCONTINUED)
Descrizione: questo algoritmo valuta la reputazione di tutti i domini visualizzati in modo specifico nei log del firewall Palo Alto (prodotto PAN-OS). Un punteggio di anomalia elevato indica una bassa reputazione, a indicare che il dominio è stato osservato per ospitare contenuto dannoso o è probabile che lo faccia.
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Anomalia di trasferimento eccessivo dei dati
Descrizione: questo algoritmo rileva un trasferimento di dati insolitamente elevato osservato nei log di rete. Usa serie temporali per scomporre i dati in componenti stagionali, di tendenza e residui per calcolare la baseline. Qualsiasi deviazione improvvisa di grandi dimensioni dalla baseline cronologica è considerata un'attività anomale.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Tattiche MITRE ATT&CK: | Esfiltrazione |
| Tecniche MITRE ATT&CK: | T1030 - Limiti delle dimensioni del trasferimento dei dati T1041 - Esfiltrazione su canale C2 T1011 - Esfiltrazione su altri supporti di rete T1567 - Esfiltrazione su servizio Web T1029 - Trasferimento pianificato T1537 - Trasferire i dati nell'account cloud |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Download eccessivi tramite Palo Alto GlobalProtect
Descrizione: questo algoritmo rileva un volume insolitamente elevato di download per account utente tramite la soluzione VPN Palo Alto. Il training del modello viene eseguito nei 14 giorni precedenti dei log VPN. Indica un volume elevato anomalo di download nell'ultimo giorno.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | CommonSecurityLog (PAN VPN) |
| Tattiche MITRE ATT&CK: | Esfiltrazione |
| Tecniche MITRE ATT&CK: | T1030 - Limiti delle dimensioni del trasferimento dei dati T1041 - Esfiltrazione su canale C2 T1011 - Esfiltrazione su altri supporti di rete T1567 - Esfiltrazione su servizio Web T1029 - Trasferimento pianificato T1537 - Trasferire i dati nell'account cloud |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Caricamenti eccessivi tramite Palo Alto GlobalProtect
Descrizione: questo algoritmo rileva un volume insolitamente elevato di caricamento per account utente tramite la soluzione VPN Palo Alto. Il training del modello viene eseguito nei 14 giorni precedenti dei log VPN. Indica un volume elevato anomalo di caricamento nell'ultimo giorno.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | CommonSecurityLog (PAN VPN) |
| Tattiche MITRE ATT&CK: | Esfiltrazione |
| Tecniche MITRE ATT&CK: | T1030 - Limiti delle dimensioni del trasferimento dei dati T1041 - Esfiltrazione su canale C2 T1011 - Esfiltrazione su altri supporti di rete T1567 - Esfiltrazione su servizio Web T1029 - Trasferimento pianificato T1537 - Trasferire i dati nell'account cloud |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Accedere da un'area insolita tramite gli account di Palo Alto GlobalProtect
Descrizione: quando un account Palo Alto GlobalProtect accede da un'area di origine da cui raramente è stato eseguito l'accesso negli ultimi 14 giorni, viene attivata un'anomalia. Questa anomalia può indicare che l'account è stato compromesso.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | CommonSecurityLog (PAN VPN) |
| Tattiche MITRE ATT&CK: | Accesso tramite credenziali Accesso iniziale Spostamento laterale |
| Tecniche MITRE ATT&CK: | T1133 - Servizi remoti esterni |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Accessi in più aree in un singolo giorno tramite Palo Alto GlobalProtect (DISCONTINUED)
Descrizione: questo algoritmo rileva un account utente con accessi da più aree non adiacenti in un singolo giorno tramite una VPN Palo Alto.
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Gestione temporanea dei dati potenziale
Descrizione: questo algoritmo confronta i download di file distinti in base all'utente della settimana precedente con i download per il giorno corrente per ogni utente e un'anomalia viene attivata quando il numero di download di file distinti supera il numero configurato di deviazioni standard sopra la media. Attualmente l'algoritmo analizza solo i file comunemente visualizzati durante l'esfiltrazione di documenti, immagini, video e archivi con le estensioni doc, , pdfxlsxlsmpptxlsxpptxbmpziponedocxjpgmp3rar, , mp4e .mov
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log attività di Office (Exchange) |
| Tattiche MITRE ATT&CK: | Raccolta |
| Tecniche MITRE ATT&CK: | T1074 - Gestione temporanea dei dati |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Potenziale algoritmo di generazione di domini (DGA) nei domini DNS di livello successivo
Descrizione: questo modello di Machine Learning indica i domini di livello successivo (di terzo livello e superiore) dei nomi di dominio dell'ultimo giorno dei log DNS insoliti. Potrebbero potenzialmente essere l'output di un algoritmo di generazione di dominio ( DGA). L'anomalia si applica ai record DNS che si risolvono negli indirizzi IPv4 e IPv6.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Eventi DNS |
| Tattiche MITRE ATT&CK: | Comando e controllo |
| Tecniche MITRE ATT&CK: | T1568 - Risoluzione dinamica |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Modifica geografica sospetta negli account di Palo Alto GlobalProtect
Descrizione: una corrispondenza indica che un utente ha eseguito l'accesso in remoto da un paese o un'area geografica diversa dal paese o dall'area geografica dell'ultimo account di accesso remoto dell'utente. Questa regola può anche indicare una compromissione dell'account, in particolare se la regola corrisponde strettamente nel tempo. Ciò include lo scenario di viaggio impossibile.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | CommonSecurityLog (PAN VPN) |
| Tattiche MITRE ATT&CK: | Accesso iniziale Accesso tramite credenziali |
| Tecniche MITRE ATT&CK: | T1133 - Servizi remoti esterni T1078 - Account validi |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Numero sospetto di documenti protetti a cui si accede
Descrizione: questo algoritmo rileva un volume elevato di accesso ai documenti protetti nei log di Azure Information Protection (AIP). Considera i record del carico di lavoro AIP per un determinato numero di giorni e determina se l'utente ha eseguito un accesso insolito ai documenti protetti in un determinato comportamento cronologico.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log di Azure Information Protection |
| Tattiche MITRE ATT&CK: | Raccolta |
| Tecniche MITRE ATT&CK: | T1530 - Dati dall'oggetto cloud Archiviazione T1213 - Dati dai repository di informazioni T1005 - Dati dal sistema locale T1039 - Dati dall'unità condivisa di rete T1114 - Raccolta di messaggi di posta elettronica |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Volume sospetto di chiamate API AWS dall'indirizzo IP di origine non AWS
Descrizione: questo algoritmo rileva un volume insolitamente elevato di chiamate API AWS per ogni account utente per area di lavoro, dagli indirizzi IP di origine all'esterno degli intervalli IP di origine di AWS nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti degli eventi di log di AWS CloudTrail in base all'indirizzo IP di origine. Questa attività può indicare che l'account utente è compromesso.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log di AWS CloudTrail |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Volume sospetto degli eventi di log di AWS CloudTrail dell'account utente del gruppo da EventTypeName
Descrizione: questo algoritmo rileva un volume insolitamente elevato di eventi per account utente del gruppo, in base a diversi tipi di evento (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction), nel log di AWS CloudTrail nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti degli eventi di log di AWS CloudTrail in base all'account utente del gruppo. Questa attività può indicare che l'account è compromesso.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log di AWS CloudTrail |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Volume sospetto di chiamate API di scrittura AWS da un account utente
Descrizione: questo algoritmo rileva un volume insolitamente elevato di chiamate API di scrittura AWS per account utente nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti degli eventi di log di AWS CloudTrail in base all'account utente. Questa attività può indicare che l'account è compromesso.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log di AWS CloudTrail |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Volume sospetto di tentativi di accesso non riusciti a AWS Console da ogni account utente del gruppo
Descrizione: questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti a AWS Console per ogni account utente del gruppo nel log di AWS CloudTrail nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti degli eventi di log di AWS CloudTrail in base all'account utente del gruppo. Questa attività può indicare che l'account è compromesso.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log di AWS CloudTrail |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Volume sospetto di tentativi di accesso non riusciti a AWS Console da ogni indirizzo IP di origine
Descrizione: questo algoritmo rileva un volume insolitamente elevato di eventi di accesso non riusciti a AWS Console per ogni indirizzo IP di origine nel log di AWS CloudTrail nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti degli eventi di log di AWS CloudTrail in base all'indirizzo IP di origine. Questa attività può indicare che l'indirizzo IP è compromesso.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log di AWS CloudTrail |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Volume sospetto di account di accesso al computer
Descrizione: questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) per computer nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Sicurezza di Windows registri eventi.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Volume sospetto di account di accesso al computer con token con privilegi elevati
Descrizione: questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) con privilegi amministrativi, per computer, nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Sicurezza di Windows registri eventi.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Volume sospetto di account di accesso all'account utente
Descrizione: questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) per ogni account utente nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Sicurezza di Windows registri eventi.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Volume sospetto di account di accesso all'account utente in base ai tipi di accesso
Descrizione: questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) per account utente, per tipi di accesso diversi, nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Sicurezza di Windows registri eventi.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Volume sospetto di account di accesso all'account utente con token con privilegi elevati
Descrizione: questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) con privilegi amministrativi, per account utente, nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Sicurezza di Windows registri eventi.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log di Sicurezza di Windows |
| Tattiche MITRE ATT&CK: | Accesso iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Rilevato allarme anomalo del firewall esterno
Descrizione: questo algoritmo identifica avvisi insoliti del firewall esterno che sono firme di minacce rilasciate da un fornitore del firewall. Usa le attività degli ultimi 7 giorni per calcolare le 10 firme più attivate e i 10 host che hanno attivato la maggior parte delle firme. Dopo aver escluso entrambi i tipi di eventi rumorosi, attiva un'anomalia solo dopo aver superato la soglia per il numero di firme attivate in un singolo giorno.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | CommonSecurityLog (PAN) |
| Tattiche MITRE ATT&CK: | Individuazione Comando e controllo |
| Tecniche MITRE ATT&CK: | Individuazione: T1046 - Analisi del servizio di rete T1135 - Individuazione condivisione di rete Comando e controllo: T1071 - Protocollo livello applicazione T1095 - Protocollo di livello non applicazione T1571 - Porta non standard |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Etichetta AIP di downgrade di massa insolita
Descrizione: questo algoritmo rileva un volume insolitamente elevato di attività di downgrade delle etichette nei log di Azure Information Protection (AIP). Considera i record del carico di lavoro "AIP" per un determinato numero di giorni e determina la sequenza di attività eseguita sui documenti insieme all'etichetta applicata per classificare un volume insolito di attività di downgrade.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log di Azure Information Protection |
| Tattiche MITRE ATT&CK: | Raccolta |
| Tecniche MITRE ATT&CK: | T1530 - Dati dall'oggetto cloud Archiviazione T1213 - Dati dai repository di informazioni T1005 - Dati dal sistema locale T1039 - Dati dall'unità condivisa di rete T1114 - Raccolta di messaggi di posta elettronica |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Comunicazione di rete insolita su porte di uso comune
Descrizione: questo algoritmo identifica le comunicazioni di rete insolite sulle porte comunemente usate, confrontando il traffico giornaliero con una baseline dei 7 giorni precedenti. Ciò include il traffico sulle porte usate comunemente (22, 53, 80, 443, 8080, 8888) e confronta il traffico giornaliero con la media e la deviazione standard di diversi attributi del traffico di rete calcolati nel periodo di base. Gli attributi del traffico considerati sono eventi totali giornalieri, trasferimento giornaliero dei dati e numero di indirizzi IP di origine distinti per porta. Un'anomalia viene attivata quando i valori giornalieri sono maggiori del numero configurato di deviazioni standard sopra la media.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| Tattiche MITRE ATT&CK: | Comando e controllo Esfiltrazione |
| Tecniche MITRE ATT&CK: | Comando e controllo: T1071 - Protocollo livello applicazione Esfiltrazione: T1030 - Limiti delle dimensioni del trasferimento dei dati |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Anomalia del volume di rete
Descrizione: questo algoritmo rileva un volume insolitamente elevato di connessioni nei log di rete. Usa serie temporali per scomporre i dati in componenti stagionali, di tendenza e residui per calcolare la baseline. Qualsiasi deviazione improvvisa di grandi dimensioni dalla baseline cronologica viene considerata come un'attività anomale.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Tattiche MITRE ATT&CK: | Esfiltrazione |
| Tecniche MITRE ATT&CK: | T1030 - Limiti delle dimensioni del trasferimento dei dati |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Traffico Web insolito rilevato con IP nel percorso URL
Descrizione: questo algoritmo identifica richieste Web insolite che elencano un indirizzo IP come host. L'algoritmo trova tutte le richieste Web con indirizzi IP nel percorso URL e le confronta con la settimana precedente di dati per escludere il traffico non dannoso noto. Dopo aver escluso il traffico non dannoso noto, attiva un'anomalia solo dopo aver superato determinate soglie con valori configurati, ad esempio richieste Web totali, numeri di URL visualizzati con lo stesso indirizzo IP di destinazione host e numero di INDIRIZZI DI origine distinti all'interno del set di URL con lo stesso indirizzo IP di destinazione. Questo tipo di richiesta può indicare un tentativo di ignorare i servizi di reputazione URL per scopi dannosi.
| Attributo | valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| Tattiche MITRE ATT&CK: | Comando e controllo Accesso iniziale |
| Tecniche MITRE ATT&CK: | Comando e controllo: T1071 - Protocollo livello applicazione Accesso iniziale: T1189 - Drive-by Compromise |
Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio
Passaggi successivi
Informazioni sulle anomalie generate da Machine Learning in Microsoft Sentinel.
Informazioni su come usare le regole di anomalia.
Analizzare gli eventi imprevisti con Microsoft Sentinel.