この記事では、Microsoft Sentinel でさまざまな機械学習モデルを使用して検出される異常の一覧を示します。
異常の検出は、一定期間にわたって環境内でのユーザーの動作を分析し、正当なアクティビティのベースラインを構築することで機能します。 ベースラインが確立されると、通常のパラメーターの範囲外にあるアクティビティは異常 (つまり、疑わしい) と見なされます。
Microsoft Sentinel では、2 つの異なるモデルを使用してベースラインを作成し、異常を検出します。
注
次の異常検出は、結果の品質が低いため、2024 年 3 月 26 日の時点で廃止されます。
- ドメイン評価の Palo Alto の異常
- Palo Alto GlobalProtect を使用した 1 日のうちのマルチリージョン ログイン
重要
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
2026 年 7 月以降、Microsoft Sentinel は Defender ポータルでのみサポートされ、Azure portal を使用している残りの顧客は自動的にリダイレクトされます。
Azure で Microsoft Sentinel を使用しているお客様は、Microsoft Defender によって提供される完全な統合セキュリティ操作エクスペリエンスのために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 すべての Microsoft Sentinel ユーザー向けの Microsoft Defender ポータルへの移行の計画」を参照してください。
UEBA の異常
Sentinel UEBA では、さまざまなデータ入力にわたってエンティティごとに作成された動的ベースラインに基づいて異常を検出します。 各エンティティのベースライン動作は、その独自の過去のアクティビティ、ピアの過去のアクティビティ、組織全体の過去のアクティビティに従って設定されます。 異常は、さまざまな属性 (アクションの種類、地理的位置、デバイス、リソース、ISP など) の相関関係が引き金となって発生することがあります。
UEBA の異常を検出するには、UEBA 機能を有効にする必要があります。
- 異常なアカウント アクセスの削除
- 異常なアカウントの作成
- 異常なアカウントの削除
- 異常なアカウント操作
- 異常なコード実行 (UEBA)
- 異常なデータの破棄
- 異常防御メカニズムの変更
- 異常な失敗したサインイン
- 異常なパスワード リセット
- 付与された異常な特権
- 異常なサインイン
異常なアカウント アクセスの削除
形容: 攻撃者は、正当なユーザーが使用するアカウントへのアクセスをブロックすることで、システムリソースとネットワーク リソースの可用性を中断する可能性があります。 攻撃者は、アカウントを削除、ロック、または操作して (資格情報を変更するなどの方法で)、アカウントにアクセスできなくすると考えられます。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Azure のアクティビティ ログ |
| MITRE ATT&CK の戦術: | 影響 |
| MITRE ATT&CK の手法: | T1531 - アカウント アクセスの削除 |
| 活動: | Microsoft.Authorization/roleAssignments/delete ログアウトする |
異常なアカウント作成
形容: 敵対者は、対象システムへのアクセスを維持するためのアカウントを作成できます。 十分なレベルのアクセス権があれば、このようなアカウントの作成を利用して、永続的なリモート アクセス ツールをシステムにデプロイしなくても、セカンダリ資格情報によるアクセスを確立できてしまいます。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | 永続化 |
| MITRE ATT&CK の手法: | T1136 - アカウントの作成 |
| MITRE ATT&CK サブ手法: | クラウド アカウント |
| 活動: | Core Directory/UserManagement/Add user |
異常なアカウント削除
形容: 敵対者は、正当なユーザーが利用するアカウントへのアクセスを禁止することで、システムおよびネットワーク リソースの可用性を中断する可能性があります。 アカウントを削除、ロック、または操作して (資格情報を変更するなどして)、アカウントにアクセスできなくすると考えられます。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | 影響 |
| MITRE ATT&CK の手法: | T1531 - アカウント アクセスの削除 |
| 活動: | Core Directory/UserManagement/Delete user コア ディレクトリ/デバイス/ユーザーの削除 Core Directory/UserManagement/Delete user |
異常なアカウント操作
形容: 敵対者は、ターゲット システムへのアクセスを維持するためにアカウントを操作できます。 これらのアクションとして、高い特権を持つグループへの新規アカウントの追加があります。 たとえば、Dragonfly 2.0 によって、管理者特権のアクセスを維持するために、新しく作成されたアカウントが管理者グループに追加されました。 以下のクエリを使用すると、特権ロールに対して "ユーザーの更新" (名前の変更) を実行している影響範囲の大きいすべてのユーザー、または初めてユーザーを変更したユーザーの出力が生成されます。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | 永続化 |
| MITRE ATT&CK の手法: | T1098 - アカウント操作 |
| 活動: | Core Directory/UserManagement/Update ユーザー |
異常なコード実行 (UEBA)
形容: 敵対者は、コマンドインタープリターやスクリプト インタープリターを悪用して、コマンド、スクリプト、バイナリを実行する可能性があります。 これらのインターフェイスと言語は、コンピューター システムと対話する手段を提供し、さまざまなプラットフォームに共通した機能です。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Azure のアクティビティ ログ |
| MITRE ATT&CK の戦術: | 実行 |
| MITRE ATT&CK の手法: | T1059 - コマンドおよびスクリプト インタープリター |
| MITRE ATT&CK サブ手法: | PowerShell |
| 活動: | Microsoft.Compute/virtualMachines/runCommand/action |
異常なデータ破壊
形容: 敵対者は、システム、サービス、およびネットワーク リソースの可用性を中断するために、特定のシステム上またはネットワーク上の多数のデータとファイルを破棄する可能性があります。 データが破壊されると、ローカルまたはリモートのドライブ上のファイルまたはデータを上書きすることで、フォレンジック手法によって保存されたデータが回復不能になるおそれがあります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Azure のアクティビティ ログ |
| MITRE ATT&CK の戦術: | 影響 |
| MITRE ATT&CK の手法: | T1485 - データの破壊 |
| 活動: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blob/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
異常な防御メカニズムの変更
形容: 敵対者は、セキュリティ ツールを無効にして、ツールやアクティビティが検出される可能性を回避できます。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Azure のアクティビティ ログ |
| MITRE ATT&CK の戦術: | 防御回避 |
| MITRE ATT&CK の手法: | T1562 - 防御の低下 |
| MITRE ATT&CK サブ手法: | ツールを無効にするか変更する クラウド ファイアウォールを無効にするか変更する |
| 活動: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete (DDoS 保護プラン削除) Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
異常なサインインの失敗
形容: システムまたは環境内の正当な資格情報を事前に知っていない敵対者は、アカウントへのアクセスを試みるためにパスワードを推測する可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra サインイン ログ Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 資格情報アクセス |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
| 活動: |
Microsoft Entra ID: サインイン アクティビティ Windows セキュリティ: 失敗したログイン (イベント ID 4625) |
異常なパスワード リセット
形容: 敵対者は、正当なユーザーが利用するアカウントへのアクセスを禁止することで、システムおよびネットワーク リソースの可用性を中断する可能性があります。 アカウントを削除、ロック、または操作して (資格情報を変更するなどして)、アカウントにアクセスできなくすると考えられます。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | 影響 |
| MITRE ATT&CK の手法: | T1531 - アカウント アクセスの削除 |
| 活動: | Core Directory/UserManagement/User password reset |
異常な特権付与
形容: 敵対者は、既存の正当な資格情報に加えて、Azure サービス プリンシパルの敵対者が制御する資格情報を追加して、被害者の Azure アカウントへの永続的なアクセスを維持することができます。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | 永続化 |
| MITRE ATT&CK の手法: | T1098 - アカウント操作 |
| MITRE ATT&CK サブ手法: | 追加の Azure サービス プリンシパル資格情報 |
| 活動: | アカウントのプロビジョニング/アプリケーション管理/サービス プリンシパルへのアプリ ロールの割り当ての追加 |
異常なサインイン
形容: 敵対者は、資格情報アクセス手法を使用して特定のユーザーまたはサービス アカウントの資格情報を盗んだり、永続性を得るためにソーシャル エンジニアリングを通じて偵察プロセスの早い段階で資格情報をキャプチャしたりする可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra サインイン ログ Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 永続化 |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
| 活動: |
Microsoft Entra ID: サインイン アクティビティ Windows セキュリティ: ログインに成功しました (イベント ID 4624) |
機械学習ベースの異常
機械学習に基づく、Microsoft Sentinel のカスタマイズ可能な異常検知では、追加設定なしですぐに使用できる分析ルール テンプレートによって異常な動作を特定できます。 異常そのものが悪意のある挙動や疑わしい動作を意味しているとは限らないものの、それを活用して検出、調査、脅威追求の能力を高めることができます。
- 異常な Azure 操作
- 異常なコード実行
- 異常なローカル アカウントの作成
- Office Exchange の異常なユーザー アクティビティ
- 試行されたコンピューターのブルート フォース
- 試行されたユーザー アカウントのブルート フォース
- ログインの種類ごとに試行されたユーザー アカウントのブルート フォース
- 失敗した理由ごとの試行されたユーザー アカウントのブルート フォース
- マシンによって生成されたネットワーク ビーコン動作を検出する
- DNS ドメインのドメイン生成アルゴリズム (DGA)
- Palo Alto GlobalProtect を使用した過剰なダウンロード
- Palo Alto GlobalProtect を使用した過剰なアップロード
- 次のレベルの DNS ドメインでの潜在的なドメイン生成アルゴリズム (DGA)
- AWS 以外のソース IP アドレスからの AWS API 呼び出しの疑わしいボリューム
- ユーザー アカウントからの AWS 書き込み API 呼び出しの疑わしいボリューム
- コンピューターへのログインの疑わしいボリューム
- 昇格されたトークンを使用したコンピューターへの疑わしいログイン量
- ユーザー アカウントへのログインの疑わしいボリューム
- ログオンの種類別にユーザー アカウントへのログインの疑わしいボリューム
- 昇格されたトークンを使用したユーザー アカウントへの疑わしいログイン量
異常な Azure 操作
形容: この検出アルゴリズムは、この ML モデルをトレーニングするためにユーザー別にグループ化された Azure 操作に関する 21 日間分のデータを収集します。 その後、このアルゴリズムでは、そのワークスペースで一般的でない一連の操作を実行したユーザーについての異常を生成します。 トレーニングされた ML モデルでは、ユーザーによって実行された操作にスコアを付け、そのスコアが定義済みしきい値を超えているものを異常と見なします。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Azure のアクティビティ ログ |
| MITRE ATT&CK の戦術: | 初期アクセス |
| MITRE ATT&CK の手法: | T1190 - 公開アプリケーションの悪用 |
異常なコード実行
形容: 攻撃者はコマンド インタープリターとスクリプト インタープリターを悪用して、コマンド、スクリプト、またはバイナリを実行する可能性があります。 これらのインターフェイスと言語は、コンピューター システムと対話する手段を提供し、さまざまなプラットフォームに共通した機能です。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Azure のアクティビティ ログ |
| MITRE ATT&CK の戦術: | 実行 |
| MITRE ATT&CK の手法: | T1059 - コマンドおよびスクリプト インタープリター |
異常なローカル アカウント作成
形容: このアルゴリズムは、Windows システムでの異常なローカル アカウントの作成を検出します。 攻撃者が、ターゲット システムへのアクセスを維持するためにローカル アカウントを作成するおそれがあります。 このアルゴリズムでは、ユーザーによる過去 14 日間のローカル アカウント作成アクティビティを分析します。 過去のアクティビティでこれまで検出されなかったユーザーによる、当日の同様のアクティビティを探します。 許可リストを指定して既知のユーザーをフィルターで除外して、この異常がトリガーされるのを避けることができます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 永続化 |
| MITRE ATT&CK の手法: | T1136 - アカウントの作成 |
Office Exchange での異常なユーザー アクティビティ
形容: この機械学習モデルは、ユーザーごとに Office Exchange ログを時間単位のバケットにグループ化します。 1 時間を 1 つのセッションとして定義します。 このモデルは、通常 (管理者以外) のユーザー全員の過去 7 日間の動作でトレーニングされます。 これは、前日のユーザーの異常な Office Exchange セッションを示します。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Office アクティビティ ログ (Exchange) |
| MITRE ATT&CK の戦術: | 永続化 コレクション |
| MITRE ATT&CK の手法: |
徴収: T1114 - メール コレクション T1213 - 情報リポジトリからのデータ 固執: T1098 - アカウント操作 T1136 - アカウントの作成 T1137 - Office アプリケーションの起動 T1505 - サーバー ソフトウェア コンポーネント |
コンピューターのブルート フォースの試み
形容: このアルゴリズムは、過去 1 日にコンピューターごとに異常に大量のログイン試行 (セキュリティ イベント ID 4625) が失敗したことを検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 資格情報アクセス |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
ユーザー アカウントのブルート フォースの試み
形容: このアルゴリズムは、過去 1 日のユーザー アカウントごとに、異常に大量の失敗したログイン試行 (セキュリティ イベント ID 4625) を検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 資格情報アクセス |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
ログインの種類ごとのユーザー アカウントのブルート フォースの試み
形容: このアルゴリズムは、過去 1 日のログオンの種類ごとに、ユーザー アカウントごとに異常に大量の失敗したログイン試行 (セキュリティ イベント ID 4625) を検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 資格情報アクセス |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
エラーの理由ごとのユーザー アカウントのブルート フォースの試み
形容: このアルゴリズムは、過去 1 日の失敗の理由ごとに、ユーザー アカウントごとに異常に大量の失敗したログイン試行 (セキュリティ イベント ID 4625) を検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 資格情報アクセス |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
マシンによって生成されたネットワーク ビーコン動作の検出
形容: このアルゴリズムは、繰り返しの時間差分パターンに基づいて、ネットワーク トラフィック接続ログからのビーコン パターンを識別します。 再帰時間差分において信頼されていない公衆ネットワークへのネットワーク接続がある場合、マルウェア コールバックまたはデータ流出の試みを示しています。 このアルゴリズムでは、同じ送信元 IP と宛先 IP の間の連続するネットワーク接続間の時間差分と、同じ送信元と宛先の間の時間差分シーケンス内の接続の数が計算されます。 ビーコンの割合は、1 日の合計接続数に対する時間差分シーケンス内の接続数として計算されます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN) |
| MITRE ATT&CK の戦術: | コマンドとコントロール |
| MITRE ATT&CK の手法: | T1071 - アプリケーション レイヤーのプロトコル T1132 - データのエンコード T1001 - データの難読化 T1568 - 動的な解像度 T1573 - 暗号化チャネル T1008 - フォールバック チャネル T1104 - マルチステージ チャネル T1095 - アプリケーション レイヤー以外のプロトコル T1571 - 標準以外のポート T1572 - プロトコル トンネリング T1090 - プロキシ T1205 - トラフィック シグナル T1102 - Web サービス |
DNS ドメインでのドメイン生成アルゴリズム (DGA)
形容: この機械学習モデルは、DNS ログ内の過去 1 日の潜在的な DGA ドメインを示します。 このアルゴリズムは、IPv4 および IPv6 アドレスに解決される DNS レコードに適用されます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | DNS イベント |
| MITRE ATT&CK の戦術: | コマンドとコントロール |
| MITRE ATT&CK の手法: | T1568 - 動的な解像度 |
Palo Alto GlobalProtect を使用した過剰なダウンロード
形容: このアルゴリズムは、Palo Alto VPN ソリューションを使用して、ユーザー アカウントごとの異常に大量のダウンロードを検出します。 このモデルは、過去 14 日間の VPN ログでトレーニングされます。 これは、前日のダウンロード数が異常に多いことを示します。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK の戦術: | 流出 |
| MITRE ATT&CK の手法: | T1030 - データ転送サイズの制限 T1041 - C2 チャネル経由のデータ流出 T1011 - 他のネットワーク メディア経由のデータ流出 T1567 - Web サービス経由のデータ流出 T1029 - スケジュールされた転送 T1537 - クラウド アカウントへのデータ転送 |
Palo Alto GlobalProtect を使用した過剰なアップロード
形容: このアルゴリズムでは、Palo Alto VPN ソリューションを使用して、ユーザー アカウントごとに異常に大量のアップロードが検出されます。 このモデルは、過去 14 日間の VPN ログでトレーニングされます。 これは、前日のアップロード数が異常に多いことを示します。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK の戦術: | 流出 |
| MITRE ATT&CK の手法: | T1030 - データ転送サイズの制限 T1041 - C2 チャネル経由のデータ流出 T1011 - 他のネットワーク メディア経由のデータ流出 T1567 - Web サービス経由のデータ流出 T1029 - スケジュールされた転送 T1537 - クラウド アカウントへのデータ転送 |
次のレベルの DNS ドメインでのドメイン生成アルゴリズム (DGA) の可能性
形容: この機械学習モデルは、通常とは異なる DNS ログの最終日のドメイン名の次のレベルのドメイン (第 3 レベルおよび上位) を示します。 これらは、ドメイン生成アルゴリズム (DGA) の出力である可能性があります。 この異常は、IPv4 および IPv6 アドレスに解決される DNS レコードに適用されます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | DNS イベント |
| MITRE ATT&CK の戦術: | コマンドとコントロール |
| MITRE ATT&CK の手法: | T1568 - 動的な解像度 |
AWS 以外の送信元 IP アドレスからの疑わしい多数の AWS API 呼び出し
形容: このアルゴリズムは、過去 1 日以内に、AWS のソース IP 範囲外のソース IP アドレスから、ワークスペースごとにユーザー アカウントごとに異常に大量の AWS API 呼び出しを検出します。 このモデルは、送信元 IP アドレス別の 過去 21 日間の AWS CloudTrail ログ イベントでトレーニングされます。 このアクティビティは、ユーザーのアカウントが侵害されたことを示している可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK の戦術: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
ユーザー アカウントからの疑わしい多数の AWS 書き込み API 呼び出し
形容: このアルゴリズムは、過去 1 日以内にユーザー アカウントごとに異常に大量の AWS 書き込み API 呼び出しを検出します。 このモデルは、ユーザー アカウント別の過去 21 日間の AWS CloudTrail ログ イベントでトレーニングされます。 このアクティビティは、アカウントが侵害されたことを示している可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK の戦術: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
コンピューターへの疑わしい多数のログイン
形容: このアルゴリズムでは、過去 1 日にコンピューターごとに異常に大量のログイン (セキュリティ イベント ID 4624) が検出されます。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
管理者特権のトークンを使用したコンピューターへの疑わしい多数のログイン
形容: このアルゴリズムは、最後の日にコンピューターごとに管理特権を持つ異常に大量の成功したログイン (セキュリティ イベント ID 4624) を検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
ユーザー アカウントへの疑わしい多数のログイン
形容: このアルゴリズムは、過去 1 日のユーザー アカウントごとに異常に大量のログイン (セキュリティ イベント ID 4624) を検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
ログオンの種類ごとのユーザー アカウントへの疑わしい多数のログイン
形容: このアルゴリズムは、過去 1 日のログオンの種類ごとに、ユーザー アカウントごとに異常に大量の成功したログイン (セキュリティ イベント ID 4624) を検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
管理者特権のトークンを使用したユーザー アカウントへの疑わしい多数のログイン
形容: このアルゴリズムは、過去 1 日の間に、ユーザー アカウントごとに管理特権を持つ異常に大量の成功したログイン (セキュリティ イベント ID 4624) を検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
次のステップ
Microsoft Sentinel で機械学習によって生成された異常 について説明します。
異常ルールを操作する方法について説明します。
Microsoft Sentinel を使用してインシデントを調査します。