Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Sentinel rileva le anomalie analizzando il comportamento degli utenti in un ambiente in un periodo di tempo e creando una baseline di attività legittima. Una volta stabilita la linea di base, qualsiasi attività al di fuori dei parametri normali viene considerata anomala e quindi sospetta.
Microsoft Sentinel usa due modelli per creare linee di base e rilevare anomalie.
Questo articolo elenca le anomalie rilevate Microsoft Sentinel usando vari modelli di Machine Learning.
Nella tabella Anomalies :
- La
rulenamecolonna indica la regola Sentinel utilizzata per identificare ogni anomalia. - La
scorecolonna contiene un valore numerico compreso tra 0 e 1, che quantifica il grado di deviazione dal comportamento previsto. I punteggi più alti indicano una deviazione maggiore rispetto alla linea di base e hanno maggiori probabilità di essere vere anomalie. I punteggi inferiori potrebbero essere ancora anomali, ma hanno meno probabilità di essere significativi o interattivi.
Nota
Questi rilevamenti di anomalie non sono più disponibili a partire dall'8 marzo 2026, a causa della bassa qualità dei risultati:
- Algoritmo di generazione del dominio (DGA) nei domini DNS
- Potenziale algoritmo di generazione di domini (DGA) nei domini DNS di livello successivo
Confrontare le anomalie basate su UEBA e Machine Learning
Le anomalie basate su UEBA e Machine Learning (ML) sono approcci complementari al rilevamento delle anomalie. Entrambi popolano la Anomalies tabella ma hanno scopi diversi:
| Aspetto | Anomalie UEBA | Regole di rilevamento anomalie ml |
|---|---|---|
| Focus | Chi si comporta insolitamente | Quale attività è insolita |
| Approccio di rilevamento | Baseline comportamentali incentrate sull'entità confrontate con attività cronologiche, comportamento peer e modelli a livello di organizzazione | Modelli di regole personalizzabili con modelli statistici e ml sottoposti a training su modelli di dati specifici |
| Origine di base | Cronologia, gruppo di peer e organizzazione di ogni entità | Periodo di training (in genere 7-21 giorni) per tipi di evento specifici |
| Personalizzazione | Abilitato/disabilitato con le impostazioni UEBA | Soglie e parametri ottimizzabili usando l'interfaccia utente della regola di analisi |
| Esempi | Accesso anomalo, creazione anomala dell'account, modifica dei privilegi anomali | Tentativo di forza bruta, download eccessivi, beaconing di rete |
Per altre informazioni, vedere:
Anomalie UEBA
Sentinel UEBA rileva anomalie basate su baseline dinamiche create per ogni entità in diversi input di dati. Il comportamento di base di ogni entità viene impostato in base alle proprie attività storiche, a quelle dei peer e a quelle dell'intera organizzazione. Le anomalie possono essere attivate dalla correlazione di attributi diversi, ad esempio tipo di azione, posizione geografica, dispositivo, risorsa, ISP e altro ancora.
È necessario abilitare il rilevamento di anomalie e UEBA nell'area di lavoro Sentinel per rilevare le anomalie UEBA.
UEBA rileva anomalie in base a queste regole di anomalia:
- Rimozione dell'accesso all'account anomalo UEBA
- Creazione dell'account anomalo UEBA
- Eliminazione dell'account anomalo UEBA
- Manipolazione anomala dell'account UEBA
- Attività anomala UEBA nei log di controllo GCP
- Attività anomala UEBA in Okta_CL
- Autenticazione anomala UEBA
- Esecuzione di codice anomalo UEBA
- Distruzione anomala dei dati UEBA
- Trasferimento anomalo dei dati UEBA da Amazon S3
- Modifica del meccanismo difensivo anomalo UEBA
- Accesso anomalo UEBA non riuscito
- Attività di identità federata o SAML anomala UEBA in AwsCloudTrail
- Modifica dei privilegi IAM anomali UEBA in AwsCloudTrail
- Accesso anomalo UEBA in AwsCloudTrail
- Errori di MFA anomali UEBA in Okta_CL
- Reimpostazione anomala della password UEBA
- Privilegio anomalo UEBA concesso
- Accesso al segreto anomalo UEBA o alla chiave del Servizio di gestione delle chiavi in AwsCloudTrail
- Accesso anomalo UEBA
- Comportamento di AssumeRole sts anomalo UEBA in AwsCloudTrail
Sentinel usa dati arricchiti della tabella BehaviorAnalytics per identificare le anomalie UEBA con un punteggio di attendibilità specifico per il tenant e l'origine.
Rimozione dell'accesso all'account anomalo UEBA
Descrizione: Un utente malintenzionato può interrompere la disponibilità delle risorse di sistema e di rete bloccando l'accesso agli account usati dagli utenti legittimi. L'utente malintenzionato potrebbe eliminare, bloccare o modificare un account (ad esempio modificandone le credenziali) per rimuovere l'accesso.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | log attività Azure |
| MITRE ATT&tattiche CK: | Impatto |
| TECNICHE MITRE ATT&CK: | T1531 - Rimozione dell'accesso all'account |
| Attività: | Microsoft.Authorization/roleAssignments/delete Disconnetti |
Torna all'elenco | anomalie UEBATorna all'inizio
Creazione dell'account anomalo UEBA
Descrizione: Gli avversari possono creare un account per mantenere l'accesso ai sistemi di destinazione. Con un livello di accesso sufficiente, la creazione di tali account può essere usata per stabilire l'accesso con credenziali secondarie senza richiedere la distribuzione di strumenti di accesso remoto permanente nel sistema.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Microsoft Entra log di controllo |
| MITRE ATT&tattiche CK: | Persistenza |
| TECNICHE MITRE ATT&CK: | T1136 - Creare un account |
| MITRE ATT&sotto-tecniche CK: | Cloud Account |
| Attività: | Core Directory/UserManagement/Add user |
Torna all'elenco | anomalie UEBATorna all'inizio
Eliminazione dell'account anomalo UEBA
Descrizione: Gli avversari possono interrompere la disponibilità delle risorse di sistema e di rete inibendo l'accesso agli account utilizzati da utenti legittimi. Gli account possono essere eliminati, bloccati o modificati (ad esempio, credenziali modificate) per rimuovere l'accesso agli account.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Microsoft Entra log di controllo |
| MITRE ATT&tattiche CK: | Impatto |
| TECNICHE MITRE ATT&CK: | T1531 - Rimozione dell'accesso all'account |
| Attività: | Core Directory/UserManagement/Delete user Core Directory/Device/Delete user Core Directory/UserManagement/Delete user |
Torna all'elenco | anomalie UEBATorna all'inizio
Manipolazione anomala dell'account UEBA
Descrizione: Gli avversari possono modificare gli account per mantenere l'accesso ai sistemi di destinazione. Queste azioni includono l'aggiunta di nuovi account ai gruppi con privilegi elevati. Dragonfly 2.0, ad esempio, ha aggiunto gli account appena creati al gruppo administrators per mantenere l'accesso con privilegi elevati. La query seguente genera un output di tutti gli utenti con raggio elevato che eseguono l'aggiornamento dell'utente (modifica del nome) al ruolo con privilegi o di quelli che hanno modificato gli utenti per la prima volta.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Microsoft Entra log di controllo |
| MITRE ATT&tattiche CK: | Persistenza |
| TECNICHE MITRE ATT&CK: | T1098 - Manipolazione dell'account |
| Attività: | Core Directory/UserManagement/Update user |
Torna all'elenco | anomalie UEBATorna all'inizio
Attività anomala UEBA nei log di controllo GCP
Descrizione: Tentativi di accesso non riusciti alle risorse di Google Cloud Platform (GCP) in base alle voci correlate a IAM nei log di controllo GCP. Questi errori potrebbero riflettere autorizzazioni non configurate correttamente, tentativi di accesso a servizi non autorizzati o comportamenti di utenti malintenzionati in fase iniziale, ad esempio il probe dei privilegi o la persistenza tramite gli account del servizio.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di controllo GCP |
| MITRE ATT&tattiche CK: | Individuazione |
| TECNICHE MITRE ATT&CK: | T1087 - Individuazione account, T1069 - Individuazione gruppi di autorizzazioni |
| Attività: | iam.googleapis.com |
Torna all'elenco | anomalie UEBATorna all'inizio
Attività anomala UEBA in Okta_CL
Descrizione: Modifiche impreviste dell'attività di autenticazione o della configurazione correlata alla sicurezza in Okta, incluse modifiche alle regole di accesso, all'applicazione dell'autenticazione a più fattori o ai privilegi amministrativi. Tale attività potrebbe indicare tentativi di modificare i controlli di sicurezza delle identità o mantenere l'accesso tramite modifiche con privilegi.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di Okta Cloud |
| MITRE ATT&tattiche CK: | Persistenza, Escalation dei privilegi |
| TECNICHE MITRE ATT&CK: | T1098 - Manipolazione dell'account, T1556 - Modifica processo di autenticazione |
| Attività: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Torna all'elenco | anomalie UEBATorna all'inizio
Autenticazione anomala UEBA
Descrizione: Attività di autenticazione insolita tra i segnali provenienti da Microsoft Defender per endpoint e Microsoft Entra ID, inclusi gli accessi dei dispositivi, gli accessi alle identità gestite e le autenticazioni dell'entità servizio da Microsoft Entra ID. Queste anomalie possono suggerire un uso improprio delle credenziali, un abuso di identità non umano o tentativi di spostamento laterale al di fuori dei modelli di accesso tipici.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Microsoft Defender per endpoint, Microsoft Entra ID |
| MITRE ATT&tattiche CK: | Accesso iniziale |
| TECNICHE MITRE ATT&CK: | T1078 - Account validi |
| Attività: |
Torna all'elenco | anomalie UEBATorna all'inizio
Esecuzione di codice anomalo UEBA
Descrizione: Gli avversari possono abusare degli interpreti di comandi e script per eseguire comandi, script o file binari. Queste interfacce e linguaggi offrono modi per interagire con i sistemi informatici e sono una funzionalità comune in molte piattaforme diverse.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | log attività Azure |
| MITRE ATT&tattiche CK: | Esecuzione |
| TECNICHE MITRE ATT&CK: | T1059 - Interprete di comandi e script |
| MITRE ATT&sotto-tecniche CK: | PowerShell |
| Attività: | Microsoft.Compute/virtualMachines/runCommand/action |
Torna all'elenco | anomalie UEBATorna all'inizio
Distruzione anomala dei dati UEBA
Descrizione: Gli avversari possono distruggere dati e file in sistemi specifici o in numero elevato in una rete per interrompere la disponibilità a sistemi, servizi e risorse di rete. È probabile che la distruzione dei dati esegua il rendering dei dati archiviati in modo irreversibile tramite tecniche forensi tramite la sovrascrittura di file o dati in unità locali e remote.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | log attività Azure |
| MITRE ATT&tattiche CK: | Impatto |
| TECNICHE MITRE ATT&CK: | T1485 - Distruzione dei dati |
| Attività: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/BLOBs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Torna all'elenco | anomalie UEBATorna all'inizio
Trasferimento anomalo dei dati UEBA da Amazon S3
Descrizione: Deviazioni nei modelli di accesso o download dei dati da Amazon Simple Storage Service (S3). L'anomalia viene determinata usando linee di base comportamentali per ogni utente, servizio e risorsa, confrontando volume, frequenza e numero di oggetti a cui si accede con le norme cronologiche. Deviazioni significative, ad esempio l'accesso bulk per la prima volta, il recupero di dati insolitamente grandi o l'attività da nuove posizioni o applicazioni, potrebbero indicare potenziali esfiltrazioni di dati, violazioni dei criteri o uso improprio di credenziali compromesse.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di AWS CloudTrail |
| MITRE ATT&tattiche CK: | Sottrazione di dati |
| TECNICHE MITRE ATT&CK: | T1567 - Esfiltrazione su servizio Web |
| Attività: | PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload |
Torna all'elenco | anomalie UEBATorna all'inizio
Modifica del meccanismo difensivo anomalo UEBA
Descrizione: Gli avversari possono disabilitare gli strumenti di sicurezza per evitare il possibile rilevamento degli strumenti e delle attività.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | log attività Azure |
| MITRE ATT&tattiche CK: | Evasione delle difese |
| TECNICHE MITRE ATT&CK: | T1562 - Compromettere le difese |
| MITRE ATT&sotto-tecniche CK: | Disabilitare o modificare gli strumenti Disabilitare o modificare cloud firewall |
| Attività: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallCriteri/eliminazione Microsoft.Network/azurefirewalls/delete |
Torna all'elenco | anomalie UEBATorna all'inizio
Accesso anomalo UEBA non riuscito
Descrizione: Gli avversari senza alcuna conoscenza preliminare delle credenziali legittime all'interno del sistema o dell'ambiente possono indovinare le password per tentare l'accesso agli account.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Microsoft Entra log di accesso Sicurezza di Windows log |
| MITRE ATT&tattiche CK: | Accesso alle credenziali |
| TECNICHE MITRE ATT&CK: | T1110 - Forza bruta |
| Attività: |
Microsoft Entra ID: Attività di accesso Sicurezza di Windows: Accesso non riuscito (ID evento 4625) |
Torna all'elenco | anomalie UEBATorna all'inizio
Attività di identità federata o SAML anomala UEBA in AwsCloudTrail
Descrizione: Attività insolita da parte di identità federate o basate su SAML (Security Assertion Markup Language) che implicano azioni per la prima volta, posizioni geografiche sconosciute o chiamate API eccessive. Tali anomalie possono indicare il dirottamento della sessione o l'uso improprio delle credenziali federate.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di AWS CloudTrail |
| MITRE ATT&tattiche CK: | Accesso iniziale, persistenza |
| TECNICHE MITRE ATT&CK: | T1078 - Account validi, T1550 - Usare materiale di autenticazione alternativo |
| Attività: | UserAuthentication (EXTERNAL_IDP) |
Torna all'elenco | anomalie UEBATorna all'inizio
Modifica dei privilegi IAM anomali UEBA in AwsCloudTrail
Descrizione: Deviazioni nel comportamento amministrativo di Gestione identità e accesso (IAM), ad esempio creazione, modifica o eliminazione per la prima volta di ruoli, utenti e gruppi o allegato a nuovi criteri inline o gestiti. Questi potrebbero indicare l'escalation dei privilegi o l'uso improprio dei criteri.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di AWS CloudTrail |
| MITRE ATT&tattiche CK: | Escalation dei privilegi, persistenza |
| TECNICHE MITRE ATT&CK: | T1136 - Creare un account, T1098 - Manipolazione dell'account |
| Attività: | Creare, aggiungere, collegare, eliminare, disattivare, inserire e aggiornare operazioni su iam.amazonaws.com, sso-directory.amazonaws.com |
Torna all'elenco | anomalie UEBATorna all'inizio
Accesso anomalo UEBA in AwsCloudTrail
Descrizione: Attività di accesso insolita nei servizi Amazon Web Services (AWS) basati su eventi CloudTrail, ad esempio ConsoleLogin e altri attributi correlati all'autenticazione. Le anomalie sono determinate dalle deviazioni nel comportamento dell'utente in base ad attributi come la georilevazione, l'impronta digitale del dispositivo, l'ISP e il metodo di accesso e possono indicare tentativi di accesso non autorizzati o potenziali violazioni dei criteri.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di AWS CloudTrail |
| MITRE ATT&tattiche CK: | Accesso iniziale |
| TECNICHE MITRE ATT&CK: | T1078 - Account validi |
| Attività: | ConsoleLogin |
Torna all'elenco | anomalie UEBATorna all'inizio
Errori di MFA anomali UEBA in Okta_CL
Descrizione: Modelli insoliti di tentativi di MFA non riusciti in Okta. Queste anomalie possono essere il risultato di un uso improprio dell'account, di un ripieno di credenziali o di un uso improprio di meccanismi di dispositivo attendibili e spesso riflettono comportamenti antagonisti in fase iniziale, ad esempio il test delle credenziali rubate o la verifica delle misure di sicurezza dell'identità.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di Okta Cloud |
| MITRE ATT&tattiche CK: | Persistenza, Escalation dei privilegi |
| TECNICHE MITRE ATT&CK: | T1078 - Account validi, T1556 - Modifica processo di autenticazione |
| Attività: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Torna all'elenco | anomalie UEBATorna all'inizio
Reimpostazione anomala della password UEBA
Descrizione: Gli avversari possono interrompere la disponibilità delle risorse di sistema e di rete inibendo l'accesso agli account utilizzati da utenti legittimi. Gli account possono essere eliminati, bloccati o modificati (ad esempio, credenziali modificate) per rimuovere l'accesso agli account.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Microsoft Entra log di controllo |
| MITRE ATT&tattiche CK: | Impatto |
| TECNICHE MITRE ATT&CK: | T1531 - Rimozione dell'accesso all'account |
| Attività: | Core Directory/UserManagement/Reimpostazione password utente |
Torna all'elenco | anomalie UEBATorna all'inizio
Privilegio anomalo UEBA concesso
Descrizione: Gli avversari possono aggiungere credenziali controllate dall'avversario per le entità servizio Azure oltre alle credenziali legittime esistenti per mantenere l'accesso permanente agli account Azure vittima.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Microsoft Entra log di controllo |
| MITRE ATT&tattiche CK: | Persistenza |
| TECNICHE MITRE ATT&CK: | T1098 - Manipolazione dell'account |
| MITRE ATT&sotto-tecniche CK: | Credenziali aggiuntive dell'entità servizio Azure |
| Attività: | Provisioning dell'account/Gestione applicazioni/Aggiunta dell'assegnazione del ruolo dell'app all'entità servizio |
Torna all'elenco | anomalie UEBATorna all'inizio
Accesso al segreto anomalo UEBA o alla chiave del Servizio di gestione delle chiavi in AwsCloudTrail
Descrizione: Accesso sospetto alle risorse di AWS Secrets Manager o del servizio di gestione delle chiavi.Suspicious access to AWS Secrets Manager, or Key Management Service (KMS). L'accesso al primo accesso o la frequenza di accesso insolitamente elevata potrebbero indicare tentativi di raccolta delle credenziali o di esfiltrazione dei dati.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di AWS CloudTrail |
| MITRE ATT&tattiche CK: | Accesso alle credenziali, raccolta |
| TECNICHE MITRE ATT&CK: | T1555 - Credenziali dagli archivi password |
| Attività: | GetSecretValue BatchGetSecretValue ListKeys ListSecrets PutSecretValue CreateSecret UpdateSecret DeleteSecret Createkey PutKeyPolicy |
Torna all'elenco | anomalie UEBATorna all'inizio
Accesso anomalo UEBA
Descrizione: Gli avversari possono rubare le credenziali di un account utente o di servizio specifico usando tecniche di accesso alle credenziali o acquisire le credenziali in precedenza nel processo di ricognizione tramite il social engineering per ottenere la persistenza.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Microsoft Entra log di accesso Sicurezza di Windows log |
| MITRE ATT&tattiche CK: | Persistenza |
| TECNICHE MITRE ATT&CK: | T1078 - Account validi |
| Attività: |
Microsoft Entra ID: Attività di accesso Sicurezza di Windows: accesso riuscito (ID evento 4624) |
Torna all'elenco | anomalie UEBATorna all'inizio
Comportamento di AssumeRole sts anomalo UEBA in AwsCloudTrail
Descrizione: Utilizzo anomalo delle azioni AssumeRole del servizio token di sicurezza AWS, in particolare per quanto riguarda i ruoli con privilegi o l'accesso tra account. Le deviazioni dall'utilizzo tipico potrebbero indicare un'escalation dei privilegi o una compromissione dell'identità.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di AWS CloudTrail |
| MITRE ATT&tattiche CK: | Escalation dei privilegi, evasione della difesa |
| TECNICHE MITRE ATT&CK: | T1548 - Meccanismo di controllo dell'elevazione degli abusi, T1078 - Account validi |
| Attività: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity AssumeRoot |
Torna all'elenco | anomalie UEBATorna all'inizio
Anomalie basate su Machine Learning
le anomalie personalizzabili basate su Machine Learning di Microsoft Sentinel possono identificare comportamenti anomali con modelli di regole di analisi che possono essere impostati immediatamente. Anche se le anomalie non indicano necessariamente comportamenti dannosi o sospetti da soli, possono essere usate per migliorare i rilevamenti, le indagini e la ricerca delle minacce.
- Operazioni di Azure anomale
- Esecuzione di codice anomalo
- Creazione dell'account locale anomalo
- Attività utente anomale in Office Exchange
- Tentativo di forza bruta del computer
- Tentativo di forza bruta dell'account utente
- Tentativo di forza bruta dell'account utente per tipo di accesso
- Tentativo di forza bruta dell'account utente per motivo dell'errore
- Rilevare il comportamento di beaconing di rete generato dal computer
- Algoritmo di generazione del dominio (DGA) nei domini DNS
- Download eccessivi tramite Palo Alto GlobalProtect
- Caricamenti eccessivi tramite Palo Alto GlobalProtect
- Potenziale algoritmo di generazione di domini (DGA) nei domini DNS di livello successivo
- Volume sospetto di chiamate API AWS da un indirizzo IP di origine non AWS
- Volume sospetto di chiamate API di scrittura AWS da un account utente
- Volume sospetto di account di accesso al computer
- Volume sospetto di account di accesso al computer con token con privilegi elevati
- Volume sospetto di account di accesso all'account utente
- Volume sospetto di account di accesso all'account utente in base ai tipi di accesso
- Volume sospetto di account di accesso all'account utente con token con privilegi elevati
Operazioni di Azure anomale
Descrizione: Questo algoritmo di rilevamento raccoglie 21 giorni di dati sulle operazioni Azure raggruppate per utente per eseguire il training di questo modello di Machine Learning. L'algoritmo genera quindi anomalie nel caso di utenti che hanno eseguito sequenze di operazioni non comuni nelle aree di lavoro. Il modello di Machine Learning sottoposto a training assegna un punteggio alle operazioni eseguite dall'utente e considera anomale quelle il cui punteggio è maggiore della soglia definita.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log attività Azure |
| MITRE ATT&tattiche CK: | Accesso iniziale |
| TECNICHE MITRE ATT&CK: | T1190 - Exploit Public-Facing Application |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Esecuzione di codice anomalo
Descrizione: Gli utenti malintenzionati possono abusare degli interpreti di comandi e script per eseguire comandi, script o file binari. Queste interfacce e linguaggi offrono modi per interagire con i sistemi informatici e sono una funzionalità comune in molte piattaforme diverse.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | log attività Azure |
| MITRE ATT&tattiche CK: | Esecuzione |
| TECNICHE MITRE ATT&CK: | T1059 - Interprete di comandi e script |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Creazione dell'account locale anomalo
Descrizione: Questo algoritmo rileva la creazione anomala di account locali nei sistemi Windows. Gli utenti malintenzionati possono creare account locali per mantenere l'accesso ai sistemi di destinazione. Questo algoritmo analizza l'attività di creazione dell'account locale nei 14 giorni precedenti dagli utenti. Cerca attività simili nel giorno corrente da parte di utenti che non sono stati visti in precedenza nell'attività storica. È possibile specificare un elenco di elementi consentiti per filtrare gli utenti noti dall'attivazione di questa anomalia.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Sicurezza di Windows log |
| MITRE ATT&tattiche CK: | Persistenza |
| TECNICHE MITRE ATT&CK: | T1136 - Creare un account |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Attività utente anomale in Office Exchange
Descrizione: Questo modello di Machine Learning raggruppa i log di Office Exchange per utente in bucket orari. Definiamo un'ora come sessione. Il training del modello viene eseguito nei 7 giorni precedenti di comportamento per tutti gli utenti normali (non amministratori). Indica sessioni di Office Exchange utente anomale nell'ultimo giorno.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log attività di Office (Exchange) |
| MITRE ATT&tattiche CK: | Persistenza Raccolta |
| TECNICHE MITRE ATT&CK: |
Collezione: T1114 - Raccolta Email T1213 - Dati da repository di informazioni Persistenza: T1098 - Manipolazione dell'account T1136 - Creare un account T1137 - Avvio dell'applicazione di Office T1505 - Componente software server |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Tentativo di forza bruta del computer
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per computer nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei log eventi di sicurezza di Windows.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Sicurezza di Windows log |
| MITRE ATT&tattiche CK: | Accesso alle credenziali |
| TECNICHE MITRE ATT&CK: | T1110 - Forza bruta |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Tentativo di forza bruta dell'account utente
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per account utente nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei log eventi di sicurezza di Windows.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Sicurezza di Windows log |
| MITRE ATT&tattiche CK: | Accesso alle credenziali |
| TECNICHE MITRE ATT&CK: | T1110 - Forza bruta |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Tentativo di forza bruta dell'account utente per tipo di accesso
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per account utente per tipo di accesso nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei log eventi di sicurezza di Windows.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Sicurezza di Windows log |
| MITRE ATT&tattiche CK: | Accesso alle credenziali |
| TECNICHE MITRE ATT&CK: | T1110 - Forza bruta |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Tentativo di forza bruta dell'account utente per motivo dell'errore
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per account utente per motivo dell'errore nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei log eventi di sicurezza di Windows.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Sicurezza di Windows log |
| MITRE ATT&tattiche CK: | Accesso alle credenziali |
| TECNICHE MITRE ATT&CK: | T1110 - Forza bruta |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Rilevare il comportamento di beaconing di rete generato dal computer
Descrizione: Questo algoritmo identifica i modelli di beaconing dai log di connessione del traffico di rete in base a modelli differenziari temporali ricorrenti. Qualsiasi connessione di rete verso reti pubbliche non attendibili in delta temporali ripetitivi è un'indicazione di callback di malware o tentativi di esfiltrazione dei dati. L'algoritmo calcolerà il delta temporale tra le connessioni di rete consecutive tra lo stesso IP di origine e l'IP di destinazione, nonché il numero di connessioni in una sequenza delta temporale tra le stesse origini e destinazioni. La percentuale di beaconing viene calcolata come connessioni in sequenza time-delta rispetto alle connessioni totali in un giorno.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | CommonSecurityLog (PAN) |
| MITRE ATT&tattiche CK: | Comando e controllo |
| TECNICHE MITRE ATT&CK: | T1071 - Application Layer Protocol T1132 - Codifica dei dati T1001 - Offuscamento dei dati T1568 - Risoluzione dinamica T1573 - Canale crittografato T1008 - Canali di fallback T1104 - Canali a più fasi T1095 - Protocollo livello non applicazione T1571 - Porta non Standard T1572 - Tunneling del protocollo T1090 - Proxy T1205 - Segnalazione del traffico T1102 - Servizio Web |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Algoritmo di generazione del dominio (DGA) nei domini DNS
Descrizione: Questo modello di Machine Learning indica i potenziali domini DGA dell'ultimo giorno nei log DNS. L'algoritmo si applica ai record DNS che vengono risolti in indirizzi IPv4 e IPv6.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Eventi DNS |
| MITRE ATT&tattiche CK: | Comando e controllo |
| TECNICHE MITRE ATT&CK: | T1568 - Risoluzione dinamica |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Download eccessivi tramite Palo Alto GlobalProtect
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di download per account utente tramite la soluzione VPN Palo Alto. Il training del modello viene eseguito nei 14 giorni precedenti dei log VPN. Indica un volume elevato anomalo di download nell'ultimo giorno.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | CommonSecurityLog (VPN PAN) |
| MITRE ATT&tattiche CK: | Sottrazione di dati |
| TECNICHE MITRE ATT&CK: | T1030 - Limiti delle dimensioni del trasferimento dati T1041 - Esfiltrazione su canale C2 T1011 - Esfiltrazione su altro supporto di rete T1567 - Esfiltrazione su servizio Web T1029 - Trasferimento pianificato T1537 - Trasferire dati nell'account cloud |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Caricamenti eccessivi tramite Palo Alto GlobalProtect
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di caricamento per account utente tramite la soluzione VPN Palo Alto. Il training del modello viene eseguito nei 14 giorni precedenti dei log VPN. Indica un volume elevato anomalo di caricamento nell'ultimo giorno.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | CommonSecurityLog (VPN PAN) |
| MITRE ATT&tattiche CK: | Sottrazione di dati |
| TECNICHE MITRE ATT&CK: | T1030 - Limiti delle dimensioni del trasferimento dati T1041 - Esfiltrazione su canale C2 T1011 - Esfiltrazione su altro supporto di rete T1567 - Esfiltrazione su servizio Web T1029 - Trasferimento pianificato T1537 - Trasferire dati nell'account cloud |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Potenziale algoritmo di generazione di domini (DGA) nei domini DNS di livello successivo
Descrizione: Questo modello di Machine Learning indica i domini di livello successivo (di terzo livello e superiore) dei nomi di dominio dell'ultimo giorno di log DNS insoliti. Potrebbero potenzialmente essere l'output di un algoritmo di generazione del dominio (DGA). L'anomalia si applica ai record DNS che vengono risolti negli indirizzi IPv4 e IPv6.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Eventi DNS |
| MITRE ATT&tattiche CK: | Comando e controllo |
| TECNICHE MITRE ATT&CK: | T1568 - Risoluzione dinamica |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Volume sospetto di chiamate API AWS da un indirizzo IP di origine non AWS
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di chiamate API AWS per account utente per area di lavoro, da indirizzi IP di origine esterni agli intervalli IP di origine di AWS, nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di eventi di log di AWS CloudTrail in base all'indirizzo IP di origine. Questa attività può indicare che l'account utente è compromesso.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log di AWS CloudTrail |
| MITRE ATT&tattiche CK: | Accesso iniziale |
| TECNICHE MITRE ATT&CK: | T1078 - Account validi |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Volume sospetto di chiamate API di scrittura AWS da un account utente
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di chiamate API di scrittura AWS per account utente nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di eventi di log di AWS CloudTrail per account utente. Questa attività può indicare che l'account è compromesso.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Log di AWS CloudTrail |
| MITRE ATT&tattiche CK: | Accesso iniziale |
| TECNICHE MITRE ATT&CK: | T1078 - Account validi |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Volume sospetto di account di accesso al computer
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) per computer nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei log eventi di Sicurezza di Windows.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Sicurezza di Windows log |
| MITRE ATT&tattiche CK: | Accesso iniziale |
| TECNICHE MITRE ATT&CK: | T1078 - Account validi |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Volume sospetto di account di accesso al computer con token con privilegi elevati
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) con privilegi amministrativi, per computer, nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei log eventi di Sicurezza di Windows.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Sicurezza di Windows log |
| MITRE ATT&tattiche CK: | Accesso iniziale |
| TECNICHE MITRE ATT&CK: | T1078 - Account validi |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Volume sospetto di account di accesso all'account utente
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) per account utente nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei log eventi di Sicurezza di Windows.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Sicurezza di Windows log |
| MITRE ATT&tattiche CK: | Accesso iniziale |
| TECNICHE MITRE ATT&CK: | T1078 - Account validi |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Volume sospetto di account di accesso all'account utente in base ai tipi di accesso
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) per account utente, in base a diversi tipi di accesso, nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei log eventi di Sicurezza di Windows.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Sicurezza di Windows log |
| MITRE ATT&tattiche CK: | Accesso iniziale |
| TECNICHE MITRE ATT&CK: | T1078 - Account validi |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Volume sospetto di account di accesso all'account utente con token con privilegi elevati
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) con privilegi amministrativi, per account utente, nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei log eventi di Sicurezza di Windows.
| Attributo | Valore |
|---|---|
| Tipo di anomalia: | Machine Learning personalizzabile |
| Origini dati: | Sicurezza di Windows log |
| MITRE ATT&tattiche CK: | Accesso iniziale |
| TECNICHE MITRE ATT&CK: | T1078 - Account validi |
Torna all'elenco | delle anomalie basate su Machine LearningTorna all'inizio
Passaggi successivi
- Informazioni sulle anomalie generate da Machine Learning in Microsoft Sentinel.
- Informazioni su come usare le regole di anomalie.
- Analizzare gli eventi imprevisti con Microsoft Sentinel.