Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden de afwijkingen vermeld die microsoft Sentinel detecteert met behulp van verschillende machine learning-modellen.
Anomaliedetectie werkt door het gedrag van gebruikers in een omgeving gedurende een bepaalde periode te analyseren en een basislijn van legitieme activiteit samen te stellen. Zodra de basislijn is vastgesteld, wordt elke activiteit buiten de normale parameters beschouwd als afwijkend en daarom verdacht.
Microsoft Sentinel maakt gebruik van twee verschillende modellen om basislijnen te maken en afwijkingen te detecteren.
Note
De volgende anomaliedetecties worden vanaf 26 maart 2024 stopgezet vanwege een lage kwaliteit van de resultaten:
- Domeinreputatie Palo Alto anomalie
- Aanmeldingen met meerdere regio's in één dag via Palo Alto GlobalProtect
Important
Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.
Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.
Als u Nog steeds Microsoft Sentinel gebruikt in Azure Portal, raden we u aan om te beginnen met het plannen van uw overgang naar de Defender-portal om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Het is tijd om te verplaatsen voor meer informatie: De Azure-portal van Microsoft Sentinel buiten gebruik stellen voor betere beveiliging.
UEBA anomalies
Sentinel UEBA detecteert afwijkingen op basis van dynamische basislijnen die zijn gemaakt voor elke entiteit in verschillende gegevensinvoeren. Het basislijngedrag van elke entiteit wordt ingesteld op basis van zijn eigen historische activiteiten, die van de peers en die van de organisatie als geheel. Afwijkingen kunnen worden geactiveerd door de correlatie van verschillende kenmerken, zoals actietype, geolocatie, apparaat, resource, ISP en meer.
U moet de UEBA-functie inschakelen voor UEBA-afwijkingen die moeten worden gedetecteerd.
- Afwijkende accounttoegang verwijderen
- Afwijkend account maken
- Afwijkend account verwijderen
- Afwijkende accountmanipulatie
- Afwijkende uitvoering van code (UEBA)
- Afwijkende gegevensvernietiging
- Afwijkende defensieve mechanismewijziging
- Afwijkende mislukte aanmelding
- Afwijkend wachtwoord opnieuw instellen
- Afwijkende bevoegdheden verleend
- Anomalous Sign-in
Afwijkende accounttoegang verwijderen
Description: An attacker may interrupt the availability of system and network resources by blocking access to accounts used by legitimate users. De aanvaller kan een account verwijderen, vergrendelen of bewerken (bijvoorbeeld door de referenties te wijzigen) om de toegang tot het account te verwijderen.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Azure-activiteitenlogboeken |
| MITRE ATT&CK-tactieken: | Impact |
| MITRE ATT&CK-technieken: | T1531 - Accounttoegang verwijderen |
| Activity: | Microsoft.Authorization/roleAssignments/delete Log Out |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Afwijkend account maken
Description: Adversaries may create an account to maintain access to targeted systems. Met voldoende toegangsniveau kan het maken van dergelijke accounts worden gebruikt om secundaire referenties tot stand te brengen zonder dat permanente hulpprogramma's voor externe toegang op het systeem moeten worden geïmplementeerd.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra-auditlogboeken |
| MITRE ATT&CK-tactieken: | Persistence |
| MITRE ATT&CK-technieken: | T1136 - Account maken |
| MITRE ATT&CK-subtechnieken: | Cloud Account |
| Activity: | Core Directory/UserManagement/Add user |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Afwijkend account verwijderen
Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Accounts kunnen worden verwijderd, vergrendeld of gemanipuleerd (bijvoorbeeld gewijzigde referenties) om de toegang tot accounts te verwijderen.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra-auditlogboeken |
| MITRE ATT&CK-tactieken: | Impact |
| MITRE ATT&CK-technieken: | T1531 - Accounttoegang verwijderen |
| Activity: | Core Directory/UserManagement/Delete user Basismap/apparaat/gebruiker verwijderen Core Directory/UserManagement/Delete user |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Afwijkende accountmanipulatie
Description: Adversaries may manipulate accounts to maintain access to target systems. Deze acties omvatten het toevoegen van nieuwe accounts aan groepen met hoge bevoegdheden. Dragonfly 2.0 heeft bijvoorbeeld nieuw gemaakte accounts toegevoegd aan de beheerdersgroep om verhoogde toegang te behouden. Met de onderstaande query wordt een uitvoer gegenereerd van alle high-Blast Radius-gebruikers die updategebruiker (naamwijziging) uitvoeren op bevoorrechte rol of gebruikers die voor het eerst gebruikers hebben gewijzigd.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra-auditlogboeken |
| MITRE ATT&CK-tactieken: | Persistence |
| MITRE ATT&CK-technieken: | T1098 - Accountmanipulatie |
| Activity: | Core Directory/UserManagement/Update user |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Afwijkende uitvoering van code (UEBA)
Description: Adversaries may abuse command and script interpreters to execute commands, scripts, or binaries. Deze interfaces en talen bieden manieren om te communiceren met computersystemen en zijn een algemene functie op veel verschillende platforms.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Azure-activiteitenlogboeken |
| MITRE ATT&CK-tactieken: | Execution |
| MITRE ATT&CK-technieken: | T1059 - Command and Scripting Interpreter |
| MITRE ATT&CK-subtechnieken: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Afwijkende gegevensvernietiging
Description: Adversaries may destroy data and files on specific systems or in large numbers on a network to interrupt availability to systems, services, and network resources. Gegevensvernietiging zal waarschijnlijk onherstelbaar worden gemaakt door forensische technieken door bestanden of gegevens op lokale en externe stations te overschrijven.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Azure-activiteitenlogboeken |
| MITRE ATT&CK-tactieken: | Impact |
| MITRE ATT&CK-technieken: | T1485 - Gegevensvernietiging |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Afwijkende defensieve mechanismewijziging
Description: Adversaries may disable security tools to avoid possible detection of their tools and activities.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Azure-activiteitenlogboeken |
| MITRE ATT&CK-tactieken: | Defense Evasion |
| MITRE ATT&CK-technieken: | T1562 - Verdediging tegen schade |
| MITRE ATT&CK-subtechnieken: | Hulpprogramma's uitschakelen of wijzigen Cloudfirewall uitschakelen of wijzigen |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Afwijkende mislukte aanmelding
Description: Adversaries with no prior knowledge of legitimate credentials within the system or environment may guess passwords to attempt access to accounts.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Aanmeldingslogboeken van Microsoft Entra logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Credential Access |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
| Activity: |
Microsoft Entra-id: Aanmeldingsactiviteit Windows Security: Failed login (Event ID 4625) |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Afwijkend wachtwoord opnieuw instellen
Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Accounts kunnen worden verwijderd, vergrendeld of gemanipuleerd (bijvoorbeeld gewijzigde referenties) om de toegang tot accounts te verwijderen.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra-auditlogboeken |
| MITRE ATT&CK-tactieken: | Impact |
| MITRE ATT&CK-technieken: | T1531 - Accounttoegang verwijderen |
| Activity: | Basismap/UserManagement/Gebruikerswachtwoord opnieuw instellen |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Afwijkende bevoegdheden verleend
Description: Adversaries may add adversary-controlled credentials for Azure Service Principals in addition to existing legitimate credentials to maintain persistent access to victim Azure accounts.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra-auditlogboeken |
| MITRE ATT&CK-tactieken: | Persistence |
| MITRE ATT&CK-technieken: | T1098 - Accountmanipulatie |
| MITRE ATT&CK-subtechnieken: | Aanvullende Referenties voor Azure-service-principal |
| Activity: | Accountinrichting/Toepassingsbeheer/App-roltoewijzing toevoegen aan service-principal |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Anomalous Sign-in
Description: Adversaries may steal the credentials of a specific user or service account using Credential Access techniques or capture credentials earlier in their reconnaissance process through social engineering for means of gaining Persistence.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Aanmeldingslogboeken van Microsoft Entra logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Persistence |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
| Activity: |
Microsoft Entra-id: Aanmeldingsactiviteit Windows Security: Successful login (Event ID 4624) |
Terug naar de lijst | met UEBA-afwijkingenTerug naar boven
Afwijkingen op basis van machine learning
De aanpasbare, op machine learning gebaseerde afwijkingen van Microsoft Sentinel kunnen afwijkend gedrag identificeren met analyseregelsjablonen die direct kunnen worden gebruikt. Hoewel afwijkingen niet noodzakelijkerwijs schadelijk of zelfs verdacht gedrag zelf aangeven, kunnen ze worden gebruikt om detecties, onderzoeken en opsporing van bedreigingen te verbeteren.
- Afwijkende Azure-bewerkingen
- Afwijkende uitvoering van code
- Afwijkend lokaal account maken
- Afwijkende gebruikersactiviteiten in Office Exchange
- Poging tot brute kracht van computer
- Poging tot beveiligingsaanval van gebruikersaccount
- Poging tot brute force van gebruikersaccount per aanmeldingstype
- Poging tot brute force van gebruikersaccount per foutreden
- Gedrag van door de machine gegenereerde netwerkconaconing detecteren
- Algoritme voor het genereren van domeinen (DGA) in DNS-domeinen
- Overmatige downloads via Palo Alto GlobalProtect
- Overmatige uploads via Palo Alto GlobalProtect
- Potentieel algoritme voor domeingeneratie (DGA) op DNS-domeinen op het volgende niveau
- Suspicious volume of AWS API calls from Non-AWS source IP address (Verdacht volume van AWS API-aanroepen van ip-adres van niet-AWS-bron)
- Suspicious volume of AWS write API calls from a user account (Verdacht volume van AWS-schrijf-API-aanroepen vanuit een gebruikersaccount
- Suspicious volume of logins to computer (Verdacht volume van aanmeldingen op
- Suspicious volume of logins token token with verhoogde token (Verdacht volume van aanmeldingen bij computer met verhoogde token)
- Suspicious volume of logins to user account (Verdacht volume van aanmeldingen voor gebruikersaccount
- Suspicious volume of logins to user account by logon types (Verdacht aantal aanmeldingen naar gebruikersaccount per aanmeldingstype)
- Suspicious volume of logins token token with verhoogde token (Verdacht aantal aanmeldingen bij gebruikersaccount met verhoogde bevoegdheden)
Afwijkende Azure-bewerkingen
Description: This detection algorithm collects 21 days' worth of data on Azure operations grouped by user to train this ML model. Het algoritme genereert vervolgens afwijkingen in het geval van gebruikers die reeksen bewerkingen hebben uitgevoerd die ongebruikelijk zijn in hun werkruimten. Het getrainde ML-model beoordeelt de bewerkingen die door de gebruiker worden uitgevoerd en beschouwt afwijkende bewerkingen waarvan de score groter is dan de gedefinieerde drempelwaarde.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | Azure-activiteitenlogboeken |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1190 - Openbare toepassing misbruiken |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Afwijkende uitvoering van code
Description: Attackers may abuse command and script interpreters to execute commands, scripts, or binaries. Deze interfaces en talen bieden manieren om te communiceren met computersystemen en zijn een algemene functie op veel verschillende platforms.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | Azure-activiteitenlogboeken |
| MITRE ATT&CK-tactieken: | Execution |
| MITRE ATT&CK-technieken: | T1059 - Command and Scripting Interpreter |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Afwijkend lokaal account maken
Description: This algorithm detects anomalous local account creation on Windows systems. Aanvallers kunnen lokale accounts maken om de toegang tot doelsystemen te behouden. Dit algoritme analyseert de activiteiten voor het maken van lokale accounts gedurende de afgelopen 14 dagen door gebruikers. Er wordt gezocht naar vergelijkbare activiteit op de huidige dag van gebruikers die nog niet eerder in historische activiteit zijn gezien. U kunt een acceptatielijst opgeven om bekende gebruikers te filteren van het activeren van deze anomalie.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Persistence |
| MITRE ATT&CK-technieken: | T1136 - Account maken |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Afwijkende gebruikersactiviteiten in Office Exchange
Description: This machine learning model groups the Office Exchange logs on a per-user basis into hourly buckets. We definiëren één uur als een sessie. Het model wordt getraind op de afgelopen 7 dagen van gedrag voor alle gewone (niet-beheerders) gebruikers. Dit duidt op afwijkende Office Exchange-sessies van gebruikers in de afgelopen dag.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | Office-activiteitenlogboek (Exchange) |
| MITRE ATT&CK-tactieken: | Persistence Collection |
| MITRE ATT&CK-technieken: |
Collection: T1114 - E-mailverzameling T1213 - Gegevens uit informatieopslagplaatsen Persistence: T1098 - Accountmanipulatie T1136 - Account maken T1137 - Office-toepassing opstarten T1505 - Serversoftwareonderdeel |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Poging tot brute kracht van computer
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per computer over the past day. Het model wordt getraind op de afgelopen 21 dagen van windows-beveiligingsgebeurtenislogboeken.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Credential Access |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Poging tot beveiligingsaanval van gebruikersaccount
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account over the past day. Het model wordt getraind op de afgelopen 21 dagen van windows-beveiligingsgebeurtenislogboeken.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Credential Access |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Poging tot brute force van gebruikersaccount per aanmeldingstype
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per logon type over the past day. Het model wordt getraind op de afgelopen 21 dagen van windows-beveiligingsgebeurtenislogboeken.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Credential Access |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Poging tot brute force van gebruikersaccount per foutreden
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per failure reason over the past day. Het model wordt getraind op de afgelopen 21 dagen van windows-beveiligingsgebeurtenislogboeken.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Credential Access |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Gedrag van door de machine gegenereerde netwerkconaconing detecteren
Description: This algorithm identifies beaconing patterns from network traffic connection logs based on recurrent time delta patterns. Elke netwerkverbinding naar niet-vertrouwde openbare netwerken bij herhaalde tijds delta's is een indicatie van malware callbacks of data exfiltratiepogingen. Het algoritme berekent de tijdsvariatie tussen opeenvolgende netwerkverbindingen tussen hetzelfde bron-IP- en doel-IP-adres, evenals het aantal verbindingen in een tijd-deltareeks tussen dezelfde bronnen en bestemmingen. Het percentage beaconing wordt berekend als de verbindingen in time-delta-reeks ten opzichte van het totale aantal verbindingen in een dag.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | CommonSecurityLog (PAN) |
| MITRE ATT&CK-tactieken: | Opdracht en controle |
| MITRE ATT&CK-technieken: | T1071 - Application Layer Protocol T1132 - Gegevenscodering T1001 - Verborgen gegevens T1568 - Dynamische resolutie T1573 - Versleuteld kanaal T1008 - Terugvalkanalen T1104 - Kanalen met meerdere fasen T1095 - Protocol voor niet-toepassingslaag T1571 - Niet-standaardpoort T1572 - Protocoltunneling T1090 - Proxy T1205 - Verkeerssignalen T1102 - Webservice |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Algoritme voor het genereren van domeinen (DGA) in DNS-domeinen
Description: This machine learning model indicates potential DGA domains from the past day in the DNS logs. Het algoritme is van toepassing op DNS-records die worden omgezet in IPv4- en IPv6-adressen.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | DNS Events |
| MITRE ATT&CK-tactieken: | Opdracht en controle |
| MITRE ATT&CK-technieken: | T1568 - Dynamische resolutie |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Overmatige downloads via Palo Alto GlobalProtect
Description: This algorithm detects unusually high volume of download per user account through the Palo Alto VPN solution. Het model wordt getraind op de afgelopen 14 dagen van de VPN-logboeken. Dit duidt op een afwijkend groot aantal downloads in de afgelopen dag.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-tactieken: | Exfiltration |
| MITRE ATT&CK-technieken: | T1030 - Limieten voor gegevensoverdracht T1041 - Exfiltratie via C2-kanaal T1011 - Exfiltratie via ander netwerkmedium T1567 - Exfiltratie via webservice T1029 - Geplande overdracht T1537 - Gegevens overdragen naar cloudaccount |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Overmatige uploads via Palo Alto GlobalProtect
Description: This algorithm detects unusually high volume of upload per user account through the Palo Alto VPN solution. Het model wordt getraind op de afgelopen 14 dagen van de VPN-logboeken. Dit duidt op een afwijkend hoog uploadvolume in de afgelopen dag.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-tactieken: | Exfiltration |
| MITRE ATT&CK-technieken: | T1030 - Limieten voor gegevensoverdracht T1041 - Exfiltratie via C2-kanaal T1011 - Exfiltratie via ander netwerkmedium T1567 - Exfiltratie via webservice T1029 - Geplande overdracht T1537 - Gegevens overdragen naar cloudaccount |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Potentieel algoritme voor domeingeneratie (DGA) op DNS-domeinen op het volgende niveau
Description: This machine learning model indicates the next-level domains (third-level and up) of the domain names from the last day of DNS logs that are unusual. Ze kunnen mogelijk de uitvoer zijn van een domeingeneratiealgoritme (DGA). De anomalie is van toepassing op de DNS-records die worden omgezet in IPv4- en IPv6-adressen.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | DNS Events |
| MITRE ATT&CK-tactieken: | Opdracht en controle |
| MITRE ATT&CK-technieken: | T1568 - Dynamische resolutie |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Suspicious volume of AWS API calls from Non-AWS source IP address (Verdacht volume van AWS API-aanroepen van ip-adres van niet-AWS-bron)
Description: This algorithm detects an unusually high volume of AWS API calls per user account per workspace, from source IP addresses outside of AWS's source IP ranges, within the last day. Het model wordt getraind op de afgelopen 21 dagen van AWS CloudTrail-logboekgebeurtenissen op bron-IP-adres. Deze activiteit kan erop wijzen dat het gebruikersaccount is aangetast.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | AWS CloudTrail-logboeken |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Suspicious volume of AWS write API calls from a user account (Verdacht volume van AWS-schrijf-API-aanroepen vanuit een gebruikersaccount
Description: This algorithm detects an unusually high volume of AWS write API calls per user account within the last day. Het model wordt getraind op de afgelopen 21 dagen van AWS CloudTrail-logboekgebeurtenissen per gebruikersaccount. Deze activiteit kan erop wijzen dat het account is aangetast.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | AWS CloudTrail-logboeken |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Suspicious volume of logins to computer (Verdacht volume van aanmeldingen op
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per computer over the past day. Het model wordt getraind op de afgelopen 21 dagen na Windows-beveiliging gebeurtenislogboeken.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Suspicious volume of logins token token with verhoogde token (Verdacht volume van aanmeldingen bij computer met verhoogde token)
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per computer, over the last day. Het model wordt getraind op de afgelopen 21 dagen na Windows-beveiliging gebeurtenislogboeken.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Suspicious volume of logins to user account (Verdacht volume van aanmeldingen voor gebruikersaccount
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account over the past day. Het model wordt getraind op de afgelopen 21 dagen na Windows-beveiliging gebeurtenislogboeken.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Suspicious volume of logins to user account by logon types (Verdacht aantal aanmeldingen naar gebruikersaccount per aanmeldingstype)
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account, by different logon types, over the past day. Het model wordt getraind op de afgelopen 21 dagen na Windows-beveiliging gebeurtenislogboeken.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Suspicious volume of logins token token with verhoogde token (Verdacht aantal aanmeldingen bij gebruikersaccount met verhoogde bevoegdheden)
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per user account, over the last day. Het model wordt getraind op de afgelopen 21 dagen na Windows-beveiliging gebeurtenislogboeken.
| Attribute | Value |
|---|---|
| Anomaly type: | Aanpasbare machine learning |
| Data sources: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met afwijkingen op basis van Machine Learning | Terug naar boven
Next steps
Meer informatie over door machine learning gegenereerde afwijkingen in Microsoft Sentinel.
Meer informatie over het werken met anomalieregels.
Investigate incidents with Microsoft Sentinel.