Microsoft Sentinelは、一定期間にわたる環境内のユーザーの動作を分析し、正当なアクティビティのベースラインを構築することで、異常を検出します。 ベースラインが確立されると、通常のパラメーター以外のアクティビティは異常と見なされるため、疑わしいと見なされます。
Microsoft Sentinelでは、2 つのモデルを使用してベースラインを作成し、異常を検出します。
この記事では、さまざまな機械学習モデルを使用して検出Microsoft Sentinel異常の一覧を示します。
[異常] テーブルで、次 の手順を 実行します。
- [
rulename] 列は、各異常を識別するために使用Sentinelルールを示します。 -
score列には、0 から 1 までの数値が含まれています。これは、予期される動作からの偏差の程度を定量化します。 スコアが高いほど、ベースラインからの偏差が大きくなり、真の異常である可能性が高くなります。 スコアが低いほど異常な場合もありますが、有意または実用的である可能性は低くなります。
注:
これらの異常検出は、結果の品質が低いため、2026 年 3 月 8 日をもって廃止されます。
- DNS ドメインのドメイン生成アルゴリズム (DGA)
- 次のレベルの DNS ドメインでの潜在的なドメイン生成アルゴリズム (DGA)
UEBA と機械学習ベースの異常を比較する
UEBA と機械学習 (ML) ベースの異常は、異常検出に対する補完的なアプローチです。 どちらも Anomalies テーブルにデータを設定しますが、さまざまな目的で使用できます。
| 側面 | UEBA の異常 | ML 異常検出ルール |
|---|---|---|
| フォーカス | 異常 に動作しているユーザー | 異常な アクティビティ |
| 検出方法 | 履歴アクティビティ、ピア動作、organization全体のパターンと比較したエンティティに焦点を当てた動作ベースライン | 特定のデータ パターンでトレーニングされた統計モデルと ML モデルを使用したカスタマイズ可能なルール テンプレート |
| ベースライン ソース | 各エンティティの履歴、ピア グループ、organization | 特定のイベントの種類に対するトレーニング期間 (通常は 7 日から 21 日) |
| カスタマイズ | UEBA 設定を使用して有効または無効にする | 分析ルール UI を使用した調整可能なしきい値とパラメーター |
| 例 | 異常なサインイン、異常なアカウントの作成、異常な特権の変更 | ブルート フォースの試行、過剰なダウンロード、ネットワーク ビーコン |
詳細については、以下を参照してください:
UEBA の異常
SENTINEL UEBA は、さまざまなデータ入力にわたってエンティティごとに作成された動的ベースラインに基づいて異常を検出します。 各エンティティのベースライン動作は、独自の履歴アクティビティ、ピアのアクティビティ、およびorganization全体のアクティビティに従って設定されます。 異常は、アクションの種類、位置情報、デバイス、リソース、ISP などのさまざまな属性の相関関係によってトリガーできます。
UEBA の異常を検出するには、Sentinel ワークスペースで UEBA と異常検出を有効にする必要があります。
UEBA は、次の異常ルールに基づいて異常を検出します。
- UEBA 異常なアカウント アクセスの削除
- UEBA 異常なアカウントの作成
- UEBA 異常なアカウントの削除
- UEBA 異常なアカウント操作
- GCP 監査ログの UEBA 異常アクティビティ
- Okta_CLでの UEBA 異常アクティビティ
- UEBA 異常認証
- UEBA の異常なコード実行
- UEBA 異常なデータの破棄
- Amazon S3 からの UEBA 異常なデータ転送
- UEBA 異常防御メカニズムの変更
- UEBA 異常なサインインに失敗しました
- AWSCloudTrail での UEBA 異常フェデレーションまたは SAML ID アクティビティ
- AWSCloudTrail での UEBA 異常な IAM 特権の変更
- AWSCloudTrail での UEBA 異常ログオン
- Okta_CLでの UEBA 異常 MFA エラー
- UEBA の異常なパスワード リセット
- UEBA の異常な特権が付与されました
- AWSCloudTrail の UEBA 異常シークレットまたは KMS キー アクセス
- UEBA 異常サインイン
- AWSCloudTrail での UEBA 異常 STS AssumeRole Behavior
Sentinelでは、BehaviorAnalytics テーブルのエンリッチされたデータを使用して、テナントとソースに固有の信頼スコアを使用して UEBA の異常を識別します。
UEBA 異常なアカウント アクセスの削除
説明: 攻撃者は、正当なユーザーが使用するアカウントへのアクセスをブロックすることで、システムおよびネットワーク リソースの可用性を中断する可能性があります。 攻撃者はアカウントを削除、ロック、または操作して (資格情報を変更するなど)、アカウントへのアクセスを削除する可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | アクティビティ ログのAzure |
| MITRE ATT&CK 戦術: | 影響 |
| MITRE ATT&CK 手法: | T1531 - アカウント アクセスの削除 |
| 活動: | Microsoft.Authorization/roleAssignments/delete ログアウト |
UEBA 異常なアカウントの作成
説明: 敵対者は、対象システムへのアクセスを維持するためのアカウントを作成できます。 十分なレベルのアクセス権を持つ場合、そのようなアカウントを作成すると、永続的なリモート アクセス ツールをシステムに展開することなく、セカンダリ資格情報アクセスを確立するために使用できます。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK 戦術: | 永続性 |
| MITRE ATT&CK 手法: | T1136 - アカウントの作成 |
| MITRE ATT&CK サブ手法: | クラウド アカウント |
| 活動: | Core Directory/UserManagement/Add user |
UEBA 異常なアカウントの削除
説明: 敵対者は、正当なユーザーが利用するアカウントへのアクセスを禁止することで、システムおよびネットワーク リソースの可用性を中断する可能性があります。 アカウントへのアクセスを削除するには、アカウントを削除、ロック、または操作 (資格情報の変更など) できます。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK 戦術: | 影響 |
| MITRE ATT&CK 手法: | T1531 - アカウント アクセスの削除 |
| 活動: | Core Directory/UserManagement/Delete ユーザー Core Directory/Device/Delete ユーザー Core Directory/UserManagement/Delete ユーザー |
UEBA 異常なアカウント操作
説明: 敵対者は、ターゲット システムへのアクセスを維持するためにアカウントを操作する可能性があります。 これらのアクションには、高い特権を持つグループに新しいアカウントを追加することが含まれます。 たとえば、Dragonfly 2.0 では、管理者特権のアクセスを維持するために、新しく作成されたアカウントが管理者グループに追加されました。 次のクエリでは、"Update user" (名前の変更) を特権ロールに実行するすべての High-Blast Radius ユーザー、または初めてユーザーを変更したユーザーの出力が生成されます。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK 戦術: | 永続性 |
| MITRE ATT&CK 手法: | T1098 - アカウント操作 |
| 活動: | Core Directory/UserManagement/Update ユーザー |
GCP 監査ログの UEBA 異常アクティビティ
説明: GCP 監査ログの IAM 関連エントリに基づいて、Google Cloud Platform (GCP) リソースへのアクセス試行が失敗しました。 これらのエラーには、アクセス許可の誤り、未承認のサービスへのアクセスの試行、またはサービス アカウントを介した特権プローブや永続化などの初期の攻撃者の動作が含まれます。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | GCP 監査ログ |
| MITRE ATT&CK 戦術: | 検出 |
| MITRE ATT&CK 手法: | T1087 – アカウントの検出, T1069 – アクセス許可グループの検出 |
| 活動: | iam.googleapis.com |
Okta_CLでの UEBA 異常アクティビティ
説明: Okta での予期しない認証アクティビティまたはセキュリティ関連の構成の変更(サインオン 規則の変更、多要素認証 (MFA) の適用、管理特権など)。 このようなアクティビティは、ID セキュリティ制御を変更したり、特権の変更を通じてアクセスを維持しようとしたりすることを示している可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Okta クラウド ログ |
| MITRE ATT&CK 戦術: | 永続化、特権のエスカレーション |
| MITRE ATT&CK 手法: | T1098 - アカウント操作、T1556 - 認証プロセスの変更 |
| 活動: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
UEBA 異常認証
説明:デバイス ログオン、マネージド ID サインイン、Microsoft Entra IDからのサービス プリンシパル認証など、Microsoft Defender for EndpointとMicrosoft Entra IDからのシグナル間の異常な認証アクティビティ。 これらの異常は、資格情報の誤用、人間以外の ID の悪用、または一般的なアクセス パターン外での横移動の試行を示唆する可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Defender for Endpoint、Microsoft Entra ID |
| MITRE ATT&CK 戦術: | 初期アクセス |
| MITRE ATT&CK 手法: | T1078 - 有効なアカウント |
| 活動: |
UEBA の異常なコード実行
説明: 敵対者はコマンドインタープリターやスクリプトインタープリターを悪用して、コマンド、スクリプト、バイナリを実行する可能性があります。 これらのインターフェイスと言語は、コンピューター システムと対話する方法を提供し、さまざまなプラットフォームで共通の機能です。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | アクティビティ ログのAzure |
| MITRE ATT&CK 戦術: | 実行 |
| MITRE ATT&CK 手法: | T1059 - コマンドおよびスクリプト インタープリター |
| MITRE ATT&CK サブ手法: | PowerShell |
| 活動: | Microsoft.Compute/virtualMachines/runCommand/action |
UEBA 異常なデータの破棄
説明: 敵対者は、特定のシステム上またはネットワーク上の大量のデータとファイルを破棄して、システム、サービス、およびネットワーク リソースの可用性を中断する可能性があります。 データの破棄は、ローカルドライブとリモートドライブ上のファイルまたはデータを上書きすることで、フォレンジック手法によって保存されたデータを回復不能にする可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | アクティビティ ログのAzure |
| MITRE ATT&CK 戦術: | 影響 |
| MITRE ATT&CK 手法: | T1485 - データの破棄 |
| 活動: | Microsoft.Compute/disks/delete Microsoft.Compute/gallerys/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Amazon S3 からの UEBA 異常なデータ転送
説明: Amazon Simple Storage Service (S3) からのデータ アクセスまたはダウンロード パターンの偏差。 この異常は、ユーザー、サービス、リソースごとに動作ベースラインを使用して決定され、データ転送ボリューム、頻度、アクセスされたオブジェクト数を履歴規範と比較します。 初回の一括アクセス、異常に大きなデータ取得、新しい場所やアプリケーションからのアクティビティなど、大幅な逸脱は、潜在的なデータ流出、ポリシー違反、または侵害された資格情報の誤用を示している可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK 戦術: | 流出 |
| MITRE ATT&CK 手法: | T1567 - Web サービス経由の流出 |
| 活動: | PutObject、CopyObject、UploadPart、UploadPartCopy、CreateJob、CompleteMultipartUpload |
UEBA 異常防御メカニズムの変更
説明: 敵対者は、ツールやアクティビティが検出されないようにセキュリティ ツールを無効にすることがあります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | アクティビティ ログのAzure |
| MITRE ATT&CK 戦術: | 防御回避 |
| MITRE ATT&CK 手法: | T1562 - 防御を損なう |
| MITRE ATT&CK サブ手法: | ツールを無効または変更する クラウド ファイアウォールを無効または変更する |
| 活動: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
UEBA 異常なサインインに失敗しました
説明: システムまたは環境内の正当な資格情報に関する事前の知識がない敵対者は、アカウントへのアクセスを試みるためにパスワードを推測する可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | サインイン ログのMicrosoft Entra ログのWindows セキュリティ |
| MITRE ATT&CK 戦術: | 資格情報へのアクセス |
| MITRE ATT&CK 手法: | T1110 - ブルート フォース |
| 活動: |
Microsoft Entra ID: サインイン アクティビティ Windows セキュリティ: ログインに失敗しました (イベント ID 4625) |
AWSCloudTrail での UEBA 異常フェデレーションまたは SAML ID アクティビティ
説明: フェデレーションまたはセキュリティ アサーション マークアップ言語 (SAML) ベースの ID による、初めてのアクション、見慣れない地理的な場所、または過剰な API 呼び出しによる異常なアクティビティ。 このような異常は、フェデレーション資格情報のセッション乗っ取りや誤用を示している可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK 戦術: | 初期アクセス、永続化 |
| MITRE ATT&CK 手法: | T1078 - 有効なアカウント、T1550 - 代替認証マテリアルの使用 |
| 活動: | UserAuthentication (EXTERNAL_IDP) |
AWSCloudTrail での UEBA 異常な IAM 特権の変更
説明: ロール、ユーザー、グループの初回作成、変更、削除、新しいインラインまたは管理ポリシーの添付など、ID とアクセス管理 (IAM) の管理動作の逸脱。 これらは、特権のエスカレーションまたはポリシーの悪用を示している可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK 戦術: | 特権のエスカレーション、永続化 |
| MITRE ATT&CK 手法: | T1136 - アカウントの作成、T1098 - アカウント操作 |
| 活動: | iam.amazonaws.com、sso-directory.amazonaws.com に対する作成、追加、アタッチ、削除、非アクティブ化、配置、更新の各操作 |
AWSCloudTrail での UEBA 異常ログオン
説明: ConsoleLogin などの CloudTrail イベントやその他の認証関連の属性に基づく Amazon Web Services (AWS) サービスでの異常なログオン アクティビティ。 異常は、位置情報、デバイス フィンガープリント、ISP、アクセス方法などの属性に基づくユーザーの動作の偏差によって決定され、未承認のアクセス試行やポリシー違反の可能性を示している可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK 戦術: | 初期アクセス |
| MITRE ATT&CK 手法: | T1078 - 有効なアカウント |
| 活動: | ConsoleLogin |
Okta_CLでの UEBA 異常 MFA エラー
説明: Okta で失敗した MFA 試行の異常なパターン。 これらの異常は、アカウントの誤用、資格情報の詰め込み、または信頼されたデバイス メカニズムの不適切な使用による可能性があり、多くの場合、盗まれた資格情報のテストや ID セーフガードのプローブなど、初期段階の敵対的な動作が反映されます。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Okta クラウド ログ |
| MITRE ATT&CK 戦術: | 永続化、特権のエスカレーション |
| MITRE ATT&CK 手法: | T1078 - 有効なアカウント、T1556 - 認証プロセスの変更 |
| 活動: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
UEBA の異常なパスワード リセット
説明: 敵対者は、正当なユーザーが利用するアカウントへのアクセスを禁止することで、システムおよびネットワーク リソースの可用性を中断する可能性があります。 アカウントへのアクセスを削除するには、アカウントを削除、ロック、または操作 (資格情報の変更など) できます。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK 戦術: | 影響 |
| MITRE ATT&CK 手法: | T1531 - アカウント アクセスの削除 |
| 活動: | Core Directory/UserManagement/User password reset |
UEBA の異常な特権が付与されました
説明:敵対者は、既存の正当な資格情報に加えて、Azure サービス プリンシパルの敵対者が制御する資格情報を追加して、被害者のAzure アカウントへの永続的なアクセスを維持することができます。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK 戦術: | 永続性 |
| MITRE ATT&CK 手法: | T1098 - アカウント操作 |
| MITRE ATT&CK サブ手法: | その他のAzure サービス プリンシパル資格情報 |
| 活動: | アカウント プロビジョニング/アプリケーション管理/サービス プリンシパルへのアプリ ロールの割り当ての追加 |
AWSCloudTrail の UEBA 異常シークレットまたは KMS キー アクセス
説明: AWS Secrets Manager、またはキー管理サービス (KMS) リソースへの不審なアクセス。 初回アクセスまたは異常に高いアクセス頻度は、資格情報の収集またはデータ流出の試行を示している可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK 戦術: | 資格情報アクセス、コレクション |
| MITRE ATT&CK 手法: | T1555 - パスワード ストアからの資格情報 |
| 活動: | GetSecretValue BatchGetSecretValue ListKeys ListSecrets PutSecretValue CreateSecret UpdateSecret DeleteSecret CreateKey PutKeyPolicy |
UEBA 異常サインイン
説明: 敵対者は、Credential Access 手法を使用して特定のユーザーまたはサービス アカウントの資格情報を盗んだり、ソーシャル エンジニアリングを通じて偵察プロセスの早い段階で資格情報をキャプチャして永続化を取得したりする可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | サインイン ログのMicrosoft Entra ログのWindows セキュリティ |
| MITRE ATT&CK 戦術: | 永続性 |
| MITRE ATT&CK 手法: | T1078 - 有効なアカウント |
| 活動: |
Microsoft Entra ID: サインイン アクティビティ Windows セキュリティ: ログインに成功しました (イベント ID 4624) |
AWSCloudTrail での UEBA 異常 STS AssumeRole Behavior
説明: AWS Security Token Service (STS) AssumeRole アクションの異常な使用。特に特権ロールまたはクロスアカウント アクセスに関連します。 一般的な使用からの逸脱は、特権のエスカレーションまたは ID の侵害を示している可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK 戦術: | 特権エスカレーション、防御回避 |
| MITRE ATT&CK 手法: | T1548 - 不正使用昇格制御メカニズム、T1078 - 有効なアカウント |
| 活動: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity AssumeRoot |
機械学習ベースの異常
Microsoft Sentinelのカスタマイズ可能な機械学習ベースの異常は、すぐに動作するように配置できる分析ルール テンプレートを使用して異常な動作を識別できます。 異常は必ずしも悪意のある動作や疑わしい動作を示すわけではありませんが、検出、調査、脅威ハンティングを改善するために使用できます。
- 異常なAzure操作
- 異常なコード実行
- 異常なローカル アカウントの作成
- Office Exchange での異常なユーザー アクティビティ
- コンピューターブルート フォースの試行
- ユーザー アカウントのブルート フォースの試行
- ログインの種類ごとのユーザー アカウントブルート フォースの試行
- 失敗した理由ごとのユーザー アカウントブルート フォースの試行
- マシンによって生成されたネットワーク ビーコンの動作を検出する
- DNS ドメインのドメイン生成アルゴリズム (DGA)
- Palo Alto GlobalProtect を使用した過剰なダウンロード
- Palo Alto GlobalProtect を使用した過剰なアップロード
- 次のレベルの DNS ドメインでの潜在的なドメイン生成アルゴリズム (DGA)
- AWS 以外のソース IP アドレスからの AWS API 呼び出しの疑わしいボリューム
- ユーザー アカウントからの AWS 書き込み API 呼び出しの疑わしいボリューム
- コンピューターへのログインの疑わしいボリューム
- 昇格されたトークンを持つコンピューターへの不審なログインのボリューム
- ユーザー アカウントへのログインの疑わしいボリューム
- ログオンの種類別のユーザー アカウントへの疑わしいログインのボリューム
- 昇格されたトークンを使用したユーザー アカウントへの不審なログイン量
異常なAzure操作
説明:この検出アルゴリズムは、この ML モデルをトレーニングするためにユーザー別にグループ化されたAzure操作に関する 21 日間分のデータを収集します。 その後、このアルゴリズムは、ワークスペースで一般的でない操作のシーケンスを実行したユーザーの場合に異常を生成します。 トレーニング済みの ML モデルは、ユーザーが実行した操作をスコア付けし、スコアが定義されたしきい値を超える異常な操作を考慮します。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | アクティビティ ログのAzure |
| MITRE ATT&CK 戦術: | 初期アクセス |
| MITRE ATT&CK 手法: | T1190 - Public-Facing アプリケーションの悪用 |
異常なコード実行
説明: 攻撃者はコマンドインタープリターやスクリプト インタープリターを悪用して、コマンド、スクリプト、バイナリを実行する可能性があります。 これらのインターフェイスと言語は、コンピューター システムと対話する方法を提供し、さまざまなプラットフォームで共通の機能です。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | アクティビティ ログのAzure |
| MITRE ATT&CK 戦術: | 実行 |
| MITRE ATT&CK 手法: | T1059 - コマンドおよびスクリプト インタープリター |
異常なローカル アカウントの作成
説明: このアルゴリズムは、Windows システムでの異常なローカル アカウントの作成を検出します。 攻撃者は、ターゲット システムへのアクセスを維持するためにローカル アカウントを作成する可能性があります。 このアルゴリズムは、ユーザーによる過去 14 日間のローカル アカウント作成アクティビティを分析します。 履歴アクティビティで以前に表示されなかったユーザーから、現在の日に同様のアクティビティを検索します。 許可リストを指定して、既知のユーザーがこの異常をトリガーしないようにフィルター処理できます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | ログのWindows セキュリティ |
| MITRE ATT&CK 戦術: | 永続性 |
| MITRE ATT&CK 手法: | T1136 - アカウントの作成 |
Office Exchange での異常なユーザー アクティビティ
説明: この機械学習モデルは、ユーザーごとに Office Exchange ログを時間単位のバケットにグループ化します。 セッションとして 1 時間を定義します。 モデルは、すべての通常 (管理者以外) ユーザーの過去 7 日間の動作でトレーニングされます。 最終日の異常なユーザー Office Exchange セッションを示します。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Office アクティビティ ログ (Exchange) |
| MITRE ATT&CK 戦術: | 永続性 コレクション |
| MITRE ATT&CK 手法: |
コレクション: T1114 - Email コレクション T1213 - 情報リポジトリからのデータ 永続 化: T1098 - アカウント操作 T1136 - アカウントの作成 T1137 - Office アプリケーションのスタートアップ T1505 - サーバー ソフトウェア コンポーネント |
コンピューターブルート フォースの試行
説明: このアルゴリズムは、過去 1 日にコンピューターごとに異常に大量の失敗したログイン試行 (セキュリティ イベント ID 4625) を検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされています。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | ログのWindows セキュリティ |
| MITRE ATT&CK 戦術: | 資格情報へのアクセス |
| MITRE ATT&CK 手法: | T1110 - ブルート フォース |
ユーザー アカウントのブルート フォースの試行
説明: このアルゴリズムは、過去 1 日にユーザー アカウントごとに異常に大量のログイン試行 (セキュリティ イベント ID 4625) が失敗したことを検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされています。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | ログのWindows セキュリティ |
| MITRE ATT&CK 戦術: | 資格情報へのアクセス |
| MITRE ATT&CK 手法: | T1110 - ブルート フォース |
ログインの種類ごとのユーザー アカウントブルート フォースの試行
説明: このアルゴリズムは、過去 1 日のログオンの種類ごとに、ユーザー アカウントごとに異常に大量の失敗したログイン試行 (セキュリティ イベント ID 4625) を検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされています。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | ログのWindows セキュリティ |
| MITRE ATT&CK 戦術: | 資格情報へのアクセス |
| MITRE ATT&CK 手法: | T1110 - ブルート フォース |
失敗した理由ごとのユーザー アカウントブルート フォースの試行
説明: このアルゴリズムは、過去 1 日の失敗の理由ごとに、ユーザー アカウントごとに異常に大量の失敗したログイン試行 (セキュリティ イベント ID 4625) を検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされています。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | ログのWindows セキュリティ |
| MITRE ATT&CK 戦術: | 資格情報へのアクセス |
| MITRE ATT&CK 手法: | T1110 - ブルート フォース |
マシンによって生成されたネットワーク ビーコンの動作を検出する
説明: このアルゴリズムは、リカレント タイム デルタ パターンに基づいて、ネットワーク トラフィック接続ログからビーコン パターンを識別します。 反復的な時間の差分で信頼されていないパブリック ネットワークに対するネットワーク接続は、マルウェア コールバックまたはデータ流出の試行を示します。 このアルゴリズムでは、同じ送信元 IP と宛先 IP の間の連続するネットワーク接続間の時間差と、同じソースと宛先の間のタイム デルタ シーケンス内の接続数が計算されます。 ビーコンの割合は、1 日の合計接続に対するタイム デルタ シーケンスの接続として計算されます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN) |
| MITRE ATT&CK 戦術: | コマンドとコントロール |
| MITRE ATT&CK 手法: | T1071 - アプリケーション層プロトコル T1132 - データ エンコード T1001 - データ難読化 T1568 - 動的解像度 T1573 - 暗号化されたチャネル T1008 - フォールバック チャネル T1104 - マルチステージ チャネル T1095 - アプリケーション層以外のプロトコル T1571 - 非Standard ポート T1572 - プロトコル トンネリング T1090 - プロキシ T1205 - トラフィック シグナリング T1102 - Web サービス |
DNS ドメインのドメイン生成アルゴリズム (DGA)
説明: この機械学習モデルは、DNS ログ内の過去 1 日の潜在的な DGA ドメインを示します。 このアルゴリズムは、IPv4 アドレスと IPv6 アドレスに解決される DNS レコードに適用されます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | DNS イベント |
| MITRE ATT&CK 戦術: | コマンドとコントロール |
| MITRE ATT&CK 手法: | T1568 - 動的解像度 |
Palo Alto GlobalProtect を使用した過剰なダウンロード
説明: このアルゴリズムは、Palo Alto VPN ソリューションを使用して、ユーザー アカウントごとに異常に大量のダウンロードを検出します。 このモデルは、過去 14 日間の VPN ログでトレーニングされています。 過去 1 日の異常な大量のダウンロードを示します。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK 戦術: | 流出 |
| MITRE ATT&CK 手法: | T1030 - データ転送サイズの制限 T1041 - C2 チャネル経由の流出 T1011 - 他のネットワーク メディアへの流出 T1567 - Web サービス経由の流出 T1029 - スケジュールされた転送 T1537 - クラウド アカウントへのデータの転送 |
Palo Alto GlobalProtect を使用した過剰なアップロード
説明: このアルゴリズムは、Palo Alto VPN ソリューションを使用して、ユーザー アカウントごとに異常に大量のアップロードを検出します。 このモデルは、過去 14 日間の VPN ログでトレーニングされています。 これは、過去 1 日のアップロードの異常な大量を示します。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK 戦術: | 流出 |
| MITRE ATT&CK 手法: | T1030 - データ転送サイズの制限 T1041 - C2 チャネル経由の流出 T1011 - 他のネットワーク メディアへの流出 T1567 - Web サービス経由の流出 T1029 - スケジュールされた転送 T1537 - クラウド アカウントへのデータの転送 |
次のレベルの DNS ドメインでの潜在的なドメイン生成アルゴリズム (DGA)
説明: この機械学習モデルは、通常とは異なる DNS ログの最終日のドメイン名の次のレベルのドメイン (3 つ目以降) を示します。 ドメイン生成アルゴリズム (DGA) の出力である可能性があります。 この異常は、IPv4 アドレスと IPv6 アドレスに解決される DNS レコードに適用されます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | DNS イベント |
| MITRE ATT&CK 戦術: | コマンドとコントロール |
| MITRE ATT&CK 手法: | T1568 - 動的解像度 |
AWS 以外のソース IP アドレスからの AWS API 呼び出しの疑わしいボリューム
説明: このアルゴリズムは、AWS のソース IP 範囲外のソース IP アドレスから、ワークスペースごとにユーザー アカウントごとに異常に大量の AWS API 呼び出しを検出します。 モデルは、過去 21 日間の AWS CloudTrail ログ イベントでソース IP アドレス別にトレーニングされています。 このアクティビティは、ユーザー アカウントが侵害されていることを示している可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK 戦術: | 初期アクセス |
| MITRE ATT&CK 手法: | T1078 - 有効なアカウント |
ユーザー アカウントからの AWS 書き込み API 呼び出しの疑わしいボリューム
説明: このアルゴリズムは、過去 1 日以内にユーザー アカウントごとに異常に大量の AWS 書き込み API 呼び出しを検出します。 このモデルは、AWS CloudTrail ログ イベントの過去 21 日間にユーザー アカウント別にトレーニングされています。 このアクティビティは、アカウントが侵害されていることを示している可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK 戦術: | 初期アクセス |
| MITRE ATT&CK 手法: | T1078 - 有効なアカウント |
コンピューターへのログインの疑わしいボリューム
説明: このアルゴリズムは、過去 1 日にコンピューターごとに異常に大量の成功したログイン (セキュリティ イベント ID 4624) を検出します。 このモデルは、過去 21 日間のWindows セキュリティ イベント ログでトレーニングされています。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | ログのWindows セキュリティ |
| MITRE ATT&CK 戦術: | 初期アクセス |
| MITRE ATT&CK 手法: | T1078 - 有効なアカウント |
昇格されたトークンを持つコンピューターへの不審なログインのボリューム
説明: このアルゴリズムは、最後の日にコンピューターごとに管理特権を持つ異常に大量の成功したログイン (セキュリティ イベント ID 4624) を検出します。 このモデルは、過去 21 日間のWindows セキュリティ イベント ログでトレーニングされています。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | ログのWindows セキュリティ |
| MITRE ATT&CK 戦術: | 初期アクセス |
| MITRE ATT&CK 手法: | T1078 - 有効なアカウント |
ユーザー アカウントへのログインの疑わしいボリューム
説明: このアルゴリズムは、過去 1 日にユーザー アカウントごとに異常に大量の成功したログイン (セキュリティ イベント ID 4624) を検出します。 このモデルは、過去 21 日間のWindows セキュリティ イベント ログでトレーニングされています。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | ログのWindows セキュリティ |
| MITRE ATT&CK 戦術: | 初期アクセス |
| MITRE ATT&CK 手法: | T1078 - 有効なアカウント |
ログオンの種類別のユーザー アカウントへの疑わしいログインのボリューム
説明: このアルゴリズムは、過去 1 日のログオンの種類によって、ユーザー アカウントごとに異常に大量の成功したログイン (セキュリティ イベント ID 4624) を検出します。 このモデルは、過去 21 日間のWindows セキュリティ イベント ログでトレーニングされています。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | ログのWindows セキュリティ |
| MITRE ATT&CK 戦術: | 初期アクセス |
| MITRE ATT&CK 手法: | T1078 - 有効なアカウント |
昇格されたトークンを使用したユーザー アカウントへの不審なログイン量
説明: このアルゴリズムは、過去 1 日にわたって、ユーザー アカウントごとに管理特権を持つ異常に大量の成功したログイン (セキュリティ イベント ID 4624) を検出します。 このモデルは、過去 21 日間のWindows セキュリティ イベント ログでトレーニングされています。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | ログのWindows セキュリティ |
| MITRE ATT&CK 戦術: | 初期アクセス |
| MITRE ATT&CK 手法: | T1078 - 有効なアカウント |
次の手順
- Microsoft Sentinelでの機械学習によって生成される異常について説明します。
- 異常ルールを操作する方法について説明します。
- Microsoft Sentinelを使用してインシデントを調査します。