Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Sentinel detecteert afwijkingen door het gedrag van gebruikers in een omgeving gedurende een bepaalde periode te analyseren en een basislijn van legitieme activiteiten samen te stellen. Zodra de basislijn is vastgesteld, wordt elke activiteit buiten de normale parameters beschouwd als afwijkend en daarom verdacht.
Microsoft Sentinel maakt gebruik van twee modellen om basislijnen te maken en afwijkingen te detecteren.
Dit artikel bevat de afwijkingen die Microsoft Sentinel detecteert met behulp van verschillende machine learning-modellen.
In de tabel Afwijkingen :
- De
rulenamekolom geeft de regel Sentinel aan die wordt gebruikt om elke anomalie te identificeren. - De
scorekolom bevat een numerieke waarde tussen 0 en 1, waarmee de mate van afwijking van het verwachte gedrag wordt gekwantificeerd. Hogere scores geven een grotere afwijking van de basislijn aan en zijn waarschijnlijk meer waar afwijkingen. Lagere scores zijn mogelijk nog steeds afwijkend, maar zijn minder waarschijnlijk significant of uitvoerbaar.
Note
Deze anomaliedetecties worden vanaf 26 maart 2024 stopgezet vanwege een lage kwaliteit van de resultaten:
- Domeinreputatie Palo Alto anomalie
- Aanmeldingen met meerdere regio's in één dag via Palo Alto GlobalProtect
Important
Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.
Vanaf juli 2026 worden alle klanten die Microsoft Sentinel in Azure Portal gebruiken, omgeleid naar de Defender-portal en gebruiken ze alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarden en omgeleid naar de Defender portal.
Als u Nog steeds Microsoft Sentinel gebruikt in Azure Portal, raden we u aan om te beginnen met het plannen van uw overgang naar de Defender-portal om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Het is tijd om te verplaatsen voor meer informatie: De Azure-portal van Microsoft Sentinel buiten gebruik stellen voor betere beveiliging.
UEBA-afwijkingen
Sentinel UEBA detecteert afwijkingen op basis van dynamische basislijnen die zijn gemaakt voor elke entiteit in verschillende gegevensinvoeren. Het basislijngedrag van elke entiteit wordt ingesteld op basis van zijn eigen historische activiteiten, die van de peers en die van de organisatie als geheel. Afwijkingen kunnen worden geactiveerd door de correlatie van verschillende kenmerken, zoals actietype, geolocatie, apparaat, resource, ISP en meer.
UEBA en anomaliedetectie inschakelen in uw Sentinel-werkruimte om UEBA-afwijkingen te detecteren.
UEBA detecteert afwijkingen op basis van deze anomalieregels:
- UEBA Afwijkende accounttoegang verwijderen
- Afwijkende UEBA-accounts maken
- Afwijkende UEBA-accountverwijdering
- UEBA Afwijkende accountmanipulatie
- Afwijkende UEBA-activiteit in GCP-auditlogboeken (preview)
- Afwijkende UEBA-activiteit in Okta_CL (preview)
- Afwijkende UEBA-verificatie (preview)
- Afwijkende uitvoering van code in UEBA
- UEBA Afwijkende gegevensvernietiging
- UEBA Anomalous Defensieve mechanisme wijzigen
- Aanmelden bij UEBA is mislukt
- UEBA Afwijkende aanmelding in AwsCloudTrail (preview)
- UEBA Afwijkende MFA-fouten in Okta_CL (preview)
- UEBA-wachtwoord opnieuw instellen
- Afwijkende UEBA-bevoegdheden verleend
- Aanmelding bij UEBA Anomalous
Sentinel maakt gebruik van verrijkte gegevens uit de tabel BehaviorAnalytics om UEBA-afwijkingen te identificeren met een betrouwbaarheidsscore die specifiek is voor uw tenant en bron.
UEBA Afwijkende accounttoegang verwijderen
Beschrijving: Een aanvaller kan de beschikbaarheid van systeem- en netwerkresources onderbreken door de toegang te blokkeren tot accounts die worden gebruikt door legitieme gebruikers. De aanvaller kan een account verwijderen, vergrendelen of bewerken (bijvoorbeeld door de referenties te wijzigen) om de toegang tot het account te verwijderen.
| Attribute | Value |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Azure-activiteitenlogboeken |
| MITRE ATT&CK-tactieken: | Impact |
| MITRE ATT&CK-technieken: | T1531 - Accounttoegang verwijderen |
| Activity: | Microsoft.Authorization/roleAssignments/delete Uitloggen |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Afwijkende UEBA-accounts maken
Beschrijving: Kwaadwillende personen kunnen een account maken om de toegang tot doelsystemen te behouden. Met voldoende toegangsniveau kan het maken van dergelijke accounts worden gebruikt om secundaire referenties tot stand te brengen zonder dat permanente hulpprogramma's voor externe toegang op het systeem moeten worden geïmplementeerd.
| Attribute | Value |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Microsoft Entra-auditlogboeken |
| MITRE ATT&CK-tactieken: | Persistence |
| MITRE ATT&CK-technieken: | T1136 - Account maken |
| MITRE ATT&CK-subtechnieken: | Cloudaccount |
| Activity: | Core Directory/UserManagement/Add user |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Afwijkende UEBA-accountverwijdering
Beschrijving: Kwaadwillende personen kunnen de beschikbaarheid van systeem- en netwerkresources onderbreken door de toegang tot accounts die worden gebruikt door legitieme gebruikers te remmen. Accounts kunnen worden verwijderd, vergrendeld of gemanipuleerd (bijvoorbeeld gewijzigde referenties) om de toegang tot accounts te verwijderen.
| Attribute | Value |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Microsoft Entra-auditlogboeken |
| MITRE ATT&CK-tactieken: | Impact |
| MITRE ATT&CK-technieken: | T1531 - Accounttoegang verwijderen |
| Activity: | Core Directory/UserManagement/Delete user Basismap/apparaat/gebruiker verwijderen Core Directory/UserManagement/Delete user |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
UEBA Afwijkende accountmanipulatie
Beschrijving: Kwaadwillende personen kunnen accounts manipuleren om de toegang tot doelsystemen te behouden. Deze acties omvatten het toevoegen van nieuwe accounts aan groepen met hoge bevoegdheden. Dragonfly 2.0 heeft bijvoorbeeld nieuw gemaakte accounts toegevoegd aan de beheerdersgroep om verhoogde toegang te behouden. Met de onderstaande query wordt een uitvoer gegenereerd van alle high-Blast Radius-gebruikers die updategebruiker (naamwijziging) uitvoeren op bevoorrechte rol of gebruikers die voor het eerst gebruikers hebben gewijzigd.
| Attribute | Value |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Microsoft Entra-auditlogboeken |
| MITRE ATT&CK-tactieken: | Persistence |
| MITRE ATT&CK-technieken: | T1098 - Accountmanipulatie |
| Activity: | Core Directory/UserManagement/Update user |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Afwijkende UEBA-activiteit in GCP-auditlogboeken (preview)
Beschrijving: Mislukte toegangspogingen naar GCP-resources (Google Cloud Platform) op basis van IAM-gerelateerde vermeldingen in GCP-auditlogboeken. Deze fouten kunnen wijzen op onjuist geconfigureerde machtigingen, pogingen om toegang te krijgen tot niet-geautoriseerde services of het gedrag van aanvallers in een vroeg stadium, zoals het testen van bevoegdheden of persistentie via serviceaccounts.
| Attribute | Value |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | GCP-auditlogboeken |
| MITRE ATT&CK-tactieken: | Ontdekking |
| MITRE ATT&CK-technieken: | T1087 – Accountdetectie, T1069 – Detectie van machtigingsgroepen |
| Activity: | iam.googleapis.com |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Afwijkende UEBA-activiteit in Okta_CL (preview)
Beschrijving: Onverwachte verificatieactiviteit of beveiligingsgerelateerde configuratiewijzigingen in Okta, waaronder wijzigingen in aanmeldingsregels, meervoudige verificatie (MFA) afdwingen of beheerdersbevoegdheden. Dergelijke activiteit kan duiden op pogingen om besturingselementen voor identiteitsbeveiliging te wijzigen of toegang te behouden via bevoegde wijzigingen.
| Attribute | Value |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Okta Cloud-logboeken |
| MITRE ATT&CK-tactieken: | Persistentie, Escalatie van bevoegdheden |
| MITRE ATT&CK-technieken: | T1098 - Accountmanipulatie, T1556 - Verificatieproces wijzigen |
| Activity: | 'user.session.impersonation.grant' 'user.session.impersonation.initiate' 'user.session.start' 'app.oauth2.admin.consent.grant_success' 'app.oauth2.authorize.code_success' 'device.desktop_mfa.recovery_pin.generate' 'user.authentication.auth_via_mfa' 'user.mfa.attempt_bypass' 'user.mfa.factor.deactivate' 'user.mfa.factor.reset_all' 'user.mfa.factor.suspend' 'user.mfa.okta_verify' |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Afwijkende UEBA-verificatie (preview)
Beschrijving: Ongebruikelijke verificatieactiviteit tussen signalen van Microsoft Defender voor Eindpunt en Microsoft Entra ID, waaronder apparaataanmeldingen, aanmeldingen voor beheerde identiteiten en verificaties van service-principals van Microsoft Entra ID. Deze afwijkingen kunnen duiden op misbruik van referenties, niet-menselijk identiteitsmisbruik of laterale verplaatsingen buiten typische toegangspatronen.
| Attribute | Value |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Microsoft Defender voor Eindpunt, Microsoft Entra-id |
| MITRE ATT&CK-tactieken: | Eerste toegang |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
| Activity: |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Afwijkende uitvoering van code in UEBA
Beschrijving: Kwaadwillende personen kunnen opdrachten en script-interpreters misbruiken om opdrachten, scripts of binaire bestanden uit te voeren. Deze interfaces en talen bieden manieren om te communiceren met computersystemen en zijn een algemene functie op veel verschillende platforms.
| Attribute | Value |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Azure-activiteitenlogboeken |
| MITRE ATT&CK-tactieken: | Execution |
| MITRE ATT&CK-technieken: | T1059 - Command and Scripting Interpreter |
| MITRE ATT&CK-subtechnieken: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
UEBA Afwijkende gegevensvernietiging
Beschrijving: Kwaadwillende personen kunnen gegevens en bestanden op specifieke systemen of in grote aantallen op een netwerk vernietigen om de beschikbaarheid van systemen, services en netwerkbronnen te onderbreken. Gegevensvernietiging zal waarschijnlijk onherstelbaar worden gemaakt door forensische technieken door bestanden of gegevens op lokale en externe stations te overschrijven.
| Attribute | Value |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Azure-activiteitenlogboeken |
| MITRE ATT&CK-tactieken: | Impact |
| MITRE ATT&CK-technieken: | T1485 - Gegevensvernietiging |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
UEBA Anomalous Defensieve mechanisme wijzigen
Beschrijving: Kwaadwillende personen kunnen beveiligingshulpprogramma's uitschakelen om mogelijke detectie van hun hulpprogramma's en activiteiten te voorkomen.
| Attribute | Value |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Azure-activiteitenlogboeken |
| MITRE ATT&CK-tactieken: | Verdedigingsontduiking |
| MITRE ATT&CK-technieken: | T1562 - Verdediging tegen schade |
| MITRE ATT&CK-subtechnieken: | Hulpprogramma's uitschakelen of wijzigen Cloudfirewall uitschakelen of wijzigen |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Aanmelden bij UEBA is mislukt
Beschrijving: Kwaadwillende personen zonder voorafgaande kennis van legitieme referenties in het systeem of de omgeving kunnen wachtwoorden raden om toegang tot accounts te proberen.
| Attribute | Value |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Aanmeldingslogboeken van Microsoft Entra logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Referentietoegang |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
| Activity: |
Microsoft Entra-id: Aanmeldingsactiviteit Windows-beveiliging: Mislukte aanmelding (gebeurtenis-id 4625) |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
UEBA Afwijkende aanmelding in AwsCloudTrail (preview)
Beschrijving: Ongebruikelijke aanmeldingsactiviteit in AWS-services (Amazon Web Services) op basis van CloudTrail-gebeurtenissen zoals ConsoleLogin en andere verificatiegerelateerde kenmerken. Afwijkingen worden bepaald door afwijkingen in gebruikersgedrag op basis van kenmerken zoals geolocatie, apparaatvingerafdruk, internetprovider en toegangsmethode, en kunnen wijzen op onbevoegde toegangspogingen of mogelijke beleidsschendingen.
| Attribute | Value |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | AWS CloudTrail-logboeken |
| MITRE ATT&CK-tactieken: | Eerste toegang |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
| Activity: | signin.amazonaws.com |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
UEBA Afwijkende MFA-fouten in Okta_CL (preview)
Beschrijving: Ongebruikelijke patronen van mislukte MFA-pogingen in Okta. Deze afwijkingen kunnen het gevolg zijn van misbruik van accounts, het opspullen van referenties of onjuist gebruik van mechanismen voor vertrouwde apparaten en weerspiegelen vaak vroeg stadium kwaadwillende gedragingen, zoals het testen van gestolen referenties of het testen van identiteitsbeveiligingen.
| Attribute | Value |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Okta Cloud-logboeken |
| MITRE ATT&CK-tactieken: | Persistentie, Escalatie van bevoegdheden |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts, T1556 - Verificatieproces wijzigen |
| Activity: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
UEBA-wachtwoord opnieuw instellen
Beschrijving: Kwaadwillende personen kunnen de beschikbaarheid van systeem- en netwerkresources onderbreken door de toegang tot accounts die worden gebruikt door legitieme gebruikers te remmen. Accounts kunnen worden verwijderd, vergrendeld of gemanipuleerd (bijvoorbeeld gewijzigde referenties) om de toegang tot accounts te verwijderen.
| Attribute | Value |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Microsoft Entra-auditlogboeken |
| MITRE ATT&CK-tactieken: | Impact |
| MITRE ATT&CK-technieken: | T1531 - Accounttoegang verwijderen |
| Activity: | Basismap/UserManagement/Gebruikerswachtwoord opnieuw instellen |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Afwijkende UEBA-bevoegdheden verleend
Beschrijving: Kwaadwillende personen kunnen naast bestaande legitieme referenties voor azure-service-principals ook adversary-gecontroleerde referenties toevoegen om permanente toegang tot azure-accounts van het slachtoffer te behouden.
| Attribute | Value |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Microsoft Entra-auditlogboeken |
| MITRE ATT&CK-tactieken: | Persistence |
| MITRE ATT&CK-technieken: | T1098 - Accountmanipulatie |
| MITRE ATT&CK-subtechnieken: | Aanvullende Referenties voor Azure-service-principal |
| Activity: | Accountinrichting/Toepassingsbeheer/App-roltoewijzing toevoegen aan service-principal |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Aanmelding bij UEBA Anomalous
Beschrijving: Kwaadwillende personen kunnen de referenties van een specifiek gebruikers- of serviceaccount stelen met behulp van referentietoegangstechnieken of referenties eerder vastleggen in hun reconnaissanceproces via social engineering om persistentie te verkrijgen.
| Attribute | Value |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Aanmeldingslogboeken van Microsoft Entra logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Persistence |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
| Activity: |
Microsoft Entra-id: Aanmeldingsactiviteit Windows-beveiliging: Geslaagde aanmelding (gebeurtenis-id 4624) |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Afwijkingen op basis van machine learning
De aanpasbare, op machine learning gebaseerde afwijkingen van Microsoft Sentinel kunnen afwijkend gedrag identificeren met analyseregelsjablonen die direct kunnen worden gebruikt. Hoewel afwijkingen niet noodzakelijkerwijs schadelijk of zelfs verdacht gedrag zelf aangeven, kunnen ze worden gebruikt om detecties, onderzoeken en opsporing van bedreigingen te verbeteren.
- Afwijkende Azure-bewerkingen
- Afwijkende uitvoering van code
- Afwijkend lokaal account maken
- Afwijkende gebruikersactiviteiten in Office Exchange
- Poging tot brute kracht van computer
- Poging tot beveiligingsaanval van gebruikersaccount
- Poging tot brute force van gebruikersaccount per aanmeldingstype
- Poging tot brute force van gebruikersaccount per foutreden
- Gedrag van door de machine gegenereerde netwerkconaconing detecteren
- Algoritme voor het genereren van domeinen (DGA) in DNS-domeinen
- Overmatige downloads via Palo Alto GlobalProtect
- Overmatige uploads via Palo Alto GlobalProtect
- Potentieel algoritme voor domeingeneratie (DGA) op DNS-domeinen op het volgende niveau
- Suspicious volume of AWS API calls from Non-AWS source IP address (Verdacht volume van AWS API-aanroepen van ip-adres van niet-AWS-bron)
- Suspicious volume of AWS write API calls from a user account (Verdacht volume van AWS-schrijf-API-aanroepen vanuit een gebruikersaccount
- Suspicious volume of logins to computer (Verdacht volume van aanmeldingen op
- Suspicious volume of logins token token with verhoogde token (Verdacht volume van aanmeldingen bij computer met verhoogde token)
- Suspicious volume of logins to user account (Verdacht volume van aanmeldingen voor gebruikersaccount
- Suspicious volume of logins to user account by logon types (Verdacht aantal aanmeldingen naar gebruikersaccount per aanmeldingstype)
- Suspicious volume of logins token token with verhoogde token (Verdacht aantal aanmeldingen bij gebruikersaccount met verhoogde bevoegdheden)
Afwijkende Azure-bewerkingen
Beschrijving: Dit detectie-algoritme verzamelt 21 dagen aan gegevens over Azure-bewerkingen die per gebruiker zijn gegroepeerd om dit ML-model te trainen. Het algoritme genereert vervolgens afwijkingen in het geval van gebruikers die reeksen bewerkingen hebben uitgevoerd die ongebruikelijk zijn in hun werkruimten. Het getrainde ML-model beoordeelt de bewerkingen die door de gebruiker worden uitgevoerd en beschouwt afwijkende bewerkingen waarvan de score groter is dan de gedefinieerde drempelwaarde.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | Azure-activiteitenlogboeken |
| MITRE ATT&CK-tactieken: | Eerste toegang |
| MITRE ATT&CK-technieken: | T1190 - Openbare toepassing misbruiken |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Afwijkende uitvoering van code
Beschrijving: Aanvallers kunnen opdrachten en script-interpreters misbruiken om opdrachten, scripts of binaire bestanden uit te voeren. Deze interfaces en talen bieden manieren om te communiceren met computersystemen en zijn een algemene functie op veel verschillende platforms.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | Azure-activiteitenlogboeken |
| MITRE ATT&CK-tactieken: | Execution |
| MITRE ATT&CK-technieken: | T1059 - Command and Scripting Interpreter |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Afwijkend lokaal account maken
Beschrijving: Dit algoritme detecteert afwijkend lokaal account maken op Windows-systemen. Aanvallers kunnen lokale accounts maken om de toegang tot doelsystemen te behouden. Dit algoritme analyseert de activiteiten voor het maken van lokale accounts gedurende de afgelopen 14 dagen door gebruikers. Er wordt gezocht naar vergelijkbare activiteit op de huidige dag van gebruikers die nog niet eerder in historische activiteit zijn gezien. U kunt een acceptatielijst opgeven om bekende gebruikers te filteren van het activeren van deze anomalie.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Persistence |
| MITRE ATT&CK-technieken: | T1136 - Account maken |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Afwijkende gebruikersactiviteiten in Office Exchange
Beschrijving: Dit machine learning-model groepeert de Office Exchange-logboeken per gebruiker in buckets per uur. We definiëren één uur als een sessie. Het model wordt getraind op de afgelopen 7 dagen van gedrag voor alle gewone (niet-beheerders) gebruikers. Dit duidt op afwijkende Office Exchange-sessies van gebruikers in de afgelopen dag.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | Office-activiteitenlogboek (Exchange) |
| MITRE ATT&CK-tactieken: | Persistence Collection |
| MITRE ATT&CK-technieken: |
Collection: T1114 - E-mailverzameling T1213 - Gegevens uit informatieopslagplaatsen Persistence: T1098 - Accountmanipulatie T1136 - Account maken T1137 - Office-toepassing opstarten T1505 - Serversoftwareonderdeel |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Poging tot brute kracht van computer
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal mislukte aanmeldingspogingen (beveiligingsgebeurtenis-id 4625) per computer gedurende de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen van windows-beveiligingsgebeurtenislogboeken.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Referentietoegang |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Poging tot beveiligingsaanval van gebruikersaccount
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal mislukte aanmeldingspogingen (beveiligingsgebeurtenis-id 4625) per gebruikersaccount gedurende de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen van windows-beveiligingsgebeurtenislogboeken.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Referentietoegang |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Poging tot brute force van gebruikersaccount per aanmeldingstype
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal mislukte aanmeldingspogingen (beveiligingsgebeurtenis-id 4625) per gebruikersaccount per aanmeldingstype gedurende de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen van windows-beveiligingsgebeurtenislogboeken.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Referentietoegang |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Poging tot brute force van gebruikersaccount per foutreden
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal mislukte aanmeldingspogingen (beveiligingsgebeurtenis-id 4625) per gebruikersaccount per foutreden gedurende de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen van windows-beveiligingsgebeurtenislogboeken.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Referentietoegang |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Gedrag van door de machine gegenereerde netwerkconaconing detecteren
Beschrijving: Dit algoritme identificeert beaconingpatronen van netwerkverkeersverbindingslogboeken op basis van terugkerende tijds deltapatronen. Elke netwerkverbinding naar niet-vertrouwde openbare netwerken bij herhaalde tijds delta's is een indicatie van malware callbacks of data exfiltratiepogingen. Het algoritme berekent de tijdsvariatie tussen opeenvolgende netwerkverbindingen tussen hetzelfde bron-IP- en doel-IP-adres, evenals het aantal verbindingen in een tijd-deltareeks tussen dezelfde bronnen en bestemmingen. Het percentage beaconing wordt berekend als de verbindingen in time-delta-reeks ten opzichte van het totale aantal verbindingen in een dag.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | CommonSecurityLog (PAN) |
| MITRE ATT&CK-tactieken: | Opdracht en controle |
| MITRE ATT&CK-technieken: | T1071 - Application Layer Protocol T1132 - Gegevenscodering T1001 - Verborgen gegevens T1568 - Dynamische resolutie T1573 - Versleuteld kanaal T1008 - Terugvalkanalen T1104 - Kanalen met meerdere fasen T1095 - Protocol voor niet-toepassingslaag T1571 - Niet-standaardpoort T1572 - Protocoltunneling T1090 - Proxy T1205 - Verkeerssignalen T1102 - Webservice |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Algoritme voor het genereren van domeinen (DGA) in DNS-domeinen
Beschrijving: Dit machine learning-model geeft potentiële DGA-domeinen van de afgelopen dag in de DNS-logboeken aan. Het algoritme is van toepassing op DNS-records die worden omgezet in IPv4- en IPv6-adressen.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | DNS-gebeurtenissen |
| MITRE ATT&CK-tactieken: | Opdracht en controle |
| MITRE ATT&CK-technieken: | T1568 - Dynamische resolutie |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Overmatige downloads via Palo Alto GlobalProtect
Beschrijving: Dit algoritme detecteert ongebruikelijk veel download per gebruikersaccount via de Palo Alto VPN-oplossing. Het model wordt getraind op de afgelopen 14 dagen van de VPN-logboeken. Dit duidt op een afwijkend groot aantal downloads in de afgelopen dag.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-tactieken: | Exfiltration |
| MITRE ATT&CK-technieken: | T1030 - Limieten voor gegevensoverdracht T1041 - Exfiltratie via C2-kanaal T1011 - Exfiltratie via ander netwerkmedium T1567 - Exfiltratie via webservice T1029 - Geplande overdracht T1537 - Gegevens overdragen naar cloudaccount |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Overmatige uploads via Palo Alto GlobalProtect
Beschrijving: Dit algoritme detecteert ongebruikelijk veel uploads per gebruikersaccount via de Palo Alto VPN-oplossing. Het model wordt getraind op de afgelopen 14 dagen van de VPN-logboeken. Dit duidt op een afwijkend hoog uploadvolume in de afgelopen dag.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-tactieken: | Exfiltration |
| MITRE ATT&CK-technieken: | T1030 - Limieten voor gegevensoverdracht T1041 - Exfiltratie via C2-kanaal T1011 - Exfiltratie via ander netwerkmedium T1567 - Exfiltratie via webservice T1029 - Geplande overdracht T1537 - Gegevens overdragen naar cloudaccount |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Potentieel algoritme voor domeingeneratie (DGA) op DNS-domeinen op het volgende niveau
Beschrijving: Dit machine learning-model geeft de domeinen op het volgende niveau (derde niveau en hoger) van de domeinnamen aan vanaf de laatste dag van DNS-logboeken die ongebruikelijk zijn. Ze kunnen mogelijk de uitvoer zijn van een domeingeneratiealgoritme (DGA). De anomalie is van toepassing op de DNS-records die worden omgezet in IPv4- en IPv6-adressen.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | DNS-gebeurtenissen |
| MITRE ATT&CK-tactieken: | Opdracht en controle |
| MITRE ATT&CK-technieken: | T1568 - Dynamische resolutie |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Suspicious volume of AWS API calls from Non-AWS source IP address (Verdacht volume van AWS API-aanroepen van ip-adres van niet-AWS-bron)
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal AWS API-aanroepen per gebruikersaccount per werkruimte, van bron-IP-adressen buiten de bron-IP-adresbereiken van AWS, binnen de laatste dag. Het model wordt getraind op de afgelopen 21 dagen van AWS CloudTrail-logboekgebeurtenissen op bron-IP-adres. Deze activiteit kan erop wijzen dat het gebruikersaccount is aangetast.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | AWS CloudTrail-logboeken |
| MITRE ATT&CK-tactieken: | Eerste toegang |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Suspicious volume of AWS write API calls from a user account (Verdacht volume van AWS-schrijf-API-aanroepen vanuit een gebruikersaccount
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal AWS-schrijf-API-aanroepen per gebruikersaccount binnen de laatste dag. Het model wordt getraind op de afgelopen 21 dagen van AWS CloudTrail-logboekgebeurtenissen per gebruikersaccount. Deze activiteit kan erop wijzen dat het account is aangetast.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | AWS CloudTrail-logboeken |
| MITRE ATT&CK-tactieken: | Eerste toegang |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Suspicious volume of logins to computer (Verdacht volume van aanmeldingen op
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal geslaagde aanmeldingen (beveiligingsgebeurtenis-id 4624) per computer gedurende de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen na Windows-beveiliging gebeurtenislogboeken.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Eerste toegang |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Suspicious volume of logins token token with verhoogde token (Verdacht volume van aanmeldingen bij computer met verhoogde token)
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal geslaagde aanmeldingen (beveiligingsgebeurtenis-id 4624) met beheerdersbevoegdheden, per computer, gedurende de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen na Windows-beveiliging gebeurtenislogboeken.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Eerste toegang |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Suspicious volume of logins to user account (Verdacht volume van aanmeldingen voor gebruikersaccount
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal geslaagde aanmeldingen (beveiligingsgebeurtenis-id 4624) per gebruikersaccount gedurende de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen na Windows-beveiliging gebeurtenislogboeken.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Eerste toegang |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Suspicious volume of logins to user account by logon types (Verdacht aantal aanmeldingen naar gebruikersaccount per aanmeldingstype)
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal geslaagde aanmeldingen (beveiligingsgebeurtenis-id 4624) per gebruikersaccount, op basis van verschillende aanmeldingstypen, gedurende de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen na Windows-beveiliging gebeurtenislogboeken.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Eerste toegang |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Suspicious volume of logins token token with verhoogde token (Verdacht aantal aanmeldingen bij gebruikersaccount met verhoogde bevoegdheden)
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal geslaagde aanmeldingen (beveiligingsgebeurtenis-id 4624) met beheerdersbevoegdheden, per gebruikersaccount, gedurende de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen na Windows-beveiliging gebeurtenislogboeken.
| Attribute | Value |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Eerste toegang |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Volgende stappen
Meer informatie over door machine learning gegenereerde afwijkingen in Microsoft Sentinel.
Meer informatie over het werken met anomalieregels.
Incidenten onderzoeken met Microsoft Sentinel.