Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Sentinel wykrywa anomalie, analizując zachowanie użytkowników w środowisku przez pewien czas i konstruując punkt odniesienia legalnej aktywności. Po ustanowieniu punktu odniesienia każde działanie poza normalnymi parametrami jest uważane za nietypowe, a zatem podejrzane.
Microsoft Sentinel używa dwóch modeli do tworzenia punktów odniesienia i wykrywania anomalii.
W tym artykule wymieniono anomalie wykrywane Microsoft Sentinel przy użyciu różnych modeli uczenia maszynowego.
W tabeli Anomalie :
- Kolumna
rulenamewskazuje regułę Sentinel używaną do identyfikowania każdej anomalii. - Kolumna
scorezawiera wartość liczbową z zakresu od 0 do 1, która kwantyfikuje stopień odchylenia od oczekiwanego zachowania. Wyższe wyniki wskazują większe odchylenie od punktu odniesienia i są bardziej prawdopodobne, że będą prawdziwe anomalie. Niższe wyniki mogą nadal być nietypowe, ale są mniej prawdopodobne, że będą znaczące lub możliwe do wykonania.
Uwaga
Te wykrycia anomalii są przerywane od 8 marca 2026 r., ze względu na niską jakość wyników:
- Algorytm generowania domeny (DGA) w domenach DNS
- Potencjalny algorytm generowania domeny (DGA) w domenach DNS następnego poziomu
Porównanie analiz UEBA i anomalii opartych na uczeniu maszynowym
Anomalie oparte na ueba i uczeniu maszynowym (ML) uzupełniają podejścia do wykrywania anomalii. Oba te elementy wypełniają tabelę, Anomalies ale służą do różnych celów:
| Aspekt | Anomalie UEBA | Reguły wykrywania anomalii uczenia maszynowego |
|---|---|---|
| Ostrości | Kto zachowuje się niezwykle | Jakie działanie jest niezwykłe |
| Podejście do wykrywania | Behawioralne punkty odniesienia skoncentrowane na jednostce w porównaniu z działaniami historycznymi, zachowaniem komunikacji równorzędnej i wzorcami w całej organizacji | Dostosowywalne szablony reguł przy użyciu modeli statystycznych i uczenia maszynowego wytrenowanych na podstawie określonych wzorców danych |
| Źródło odniesienia | Historia każdej jednostki, grupa równorzędna i organizacja | Okres trenowania (zazwyczaj 7–21 dni) dla określonych typów zdarzeń |
| Dostosowywania | Włączone/wyłączone przy użyciu ustawień UEBA | Progi i parametry z możliwością dostosowania przy użyciu interfejsu użytkownika reguły analizy |
| Przykłady | Nietypowe logowanie, nietypowe tworzenie konta, nietypowa modyfikacja uprawnień | Próba brutalnej siły, nadmierne pobieranie, sygnały nawigacyjne sieci |
Więcej informacji można znaleźć w następujących artykułach:
Anomalie UEBA
Sentinel UEBA wykrywa anomalie oparte na dynamicznych punktach odniesienia utworzonych dla każdej jednostki w różnych danych wejściowych danych. Zachowanie punktu odniesienia każdej jednostki jest ustawiane zgodnie z jej własnymi działaniami historycznymi, działaniami jej elementów równorzędnych i całą organizacją. Anomalie mogą być wyzwalane przez korelację różnych atrybutów, takich jak typ akcji, lokalizacja geograficzna, urządzenie, zasób, usługodawca isp i inne.
Aby wykrywać anomalie UEBA, należy włączyć wykrywanie ueba i anomalii w obszarze roboczym Sentinel.
UEBA wykrywa anomalie na podstawie tych reguł anomalii:
- Usuwanie nietypowego dostępu do konta UEBA
- Tworzenie nietypowego konta UEBA
- Usuwanie nietypowego konta UEBA
- Nietypowa manipulacja kontem UEBA
- Nietypowe działanie UEBA w dziennikach inspekcji GCP
- Nietypowa aktywność UEBA w Okta_CL
- Uwierzytelnianie nietypowe UEBA
- Nietypowe wykonywanie kodu UEBA
- Niszczenie nietypowych danych UEBA
- Nietypowy transfer danych UEBA z usługi Amazon S3
- Anomalous Defensive Mechanism Modification (Modyfikacja nietypowego mechanizmu obronnego UEBA)
- Nietypowe nieudane logowanie UEBA
- UEBA Anomalous Federated or SAML Identity Activity in AwsCloudTrail
- UEBA Anomalous IAM Privilege Modification in AwsCloudTrail
- Nietypowe logowanie UEBA w usłudze AwsCloudTrail
- Nietypowe błędy uwierzytelniania wieloskładnikowego UEBA w Okta_CL
- Nietypowe resetowanie hasła ueba
- Przyznano nietypowe uprawnienie UEBA
- Anomalous Secret lub KMS Key Access in AwsCloudTrail (Dostęp do nietypowego klucza tajnego UEBA lub klucza KMS w usłudze AwsCloudTrail)
- Nietypowe logowanie UEBA
- Nietypowe zachowanie usługi STS AssumeRole w usłudze AwsCloudTrail
Sentinel używa wzbogaconych danych z tabeli BehaviorAnalytics do identyfikowania anomalii UEBA z wynikiem ufności specyficznym dla dzierżawy i źródła.
Usuwanie nietypowego dostępu do konta UEBA
Opis: Osoba atakująca może przerwać dostępność zasobów systemowych i sieciowych, blokując dostęp do kont używanych przez legalnych użytkowników. Osoba atakująca może usunąć, zablokować lub manipulować kontem (na przykład zmieniając jego poświadczenia), aby usunąć dostęp do niego.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | dzienniki aktywności Azure |
| Taktyka mitre att&CK: | Wpływ |
| MITRE ATT&techniki CK: | T1531 — Usuwanie dostępu do konta |
| Działania: | Microsoft.Authorization/roleAssignments/delete Wyloguj się |
Powrót do listy | anomalii UEBAPowrót do góry
Tworzenie nietypowego konta UEBA
Opis: Przeciwnicy mogą utworzyć konto w celu utrzymania dostępu do systemów docelowych. Przy wystarczającym poziomie dostępu tworzenie takich kont może służyć do ustanawiania pomocniczego dostępu poświadczeń bez konieczności wdrażania trwałych narzędzi dostępu zdalnego w systemie.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | dzienniki inspekcji Microsoft Entra |
| Taktyka mitre att&CK: | Trwałości |
| MITRE ATT&techniki CK: | T1136 — tworzenie konta |
| Techniki podrzędne MITRE ATT&CK: | Konto w chmurze |
| Działania: | Katalog podstawowy/Zarządzanie użytkownikami/Dodawanie użytkownika |
Powrót do listy | anomalii UEBAPowrót do góry
Usuwanie nietypowego konta UEBA
Opis: Przeciwnicy mogą przerwać dostępność zasobów systemowych i sieciowych, hamując dostęp do kont używanych przez legalnych użytkowników. Konta mogą być usuwane, blokowane lub manipulowane (np. zmienione poświadczenia), aby usunąć dostęp do kont.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | dzienniki inspekcji Microsoft Entra |
| Taktyka mitre att&CK: | Wpływ |
| MITRE ATT&techniki CK: | T1531 — Usuwanie dostępu do konta |
| Działania: | Użytkownik usługi Core Directory/UserManagement/Delete Użytkownik usługi Core Directory/Device/Delete Użytkownik usługi Core Directory/UserManagement/Delete |
Powrót do listy | anomalii UEBAPowrót do góry
Nietypowa manipulacja kontem UEBA
Opis: Przeciwnicy mogą manipulować kontami w celu utrzymania dostępu do systemów docelowych. Te akcje obejmują dodawanie nowych kont do grup o wysokich uprawnieniach. Na przykład program Dragonfly 2.0 dodał nowo utworzone konta do grupy administratorów w celu utrzymania podwyższonego poziomu dostępu. Poniższe zapytanie generuje dane wyjściowe wszystkich użytkowników usługi Radius o wysokiej wydajności wykonujących "Aktualizowanie użytkownika" (zmiana nazwy) na rolę uprzywilejowaną lub tych, którzy zmienili użytkowników po raz pierwszy.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | dzienniki inspekcji Microsoft Entra |
| Taktyka mitre att&CK: | Trwałości |
| MITRE ATT&techniki CK: | T1098 — Manipulowanie kontami |
| Działania: | Użytkownik usługi Core Directory/UserManagement/Update |
Powrót do listy | anomalii UEBAPowrót do góry
Nietypowe działanie UEBA w dziennikach inspekcji GCP
Opis: Nieudane próby dostępu do zasobów platformy Google Cloud Platform (GCP) na podstawie wpisów związanych z zarządzaniem dostępem i tożsamościami w dziennikach inspekcji GCP. Te błędy mogą odzwierciedlać błędnie skonfigurowane uprawnienia, próby uzyskania dostępu do nieautoryzowanych usług lub zachowania osoby atakującej na wczesnym etapie, takie jak sondowanie uprawnień lub trwałość za pośrednictwem kont usług.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki inspekcji GCP |
| Taktyka mitre att&CK: | Odnajdywania |
| MITRE ATT&techniki CK: | T1087 — Odnajdywanie konta, T1069 — odnajdywanie grup uprawnień |
| Działania: | iam.googleapis.com |
Powrót do listy | anomalii UEBAPowrót do góry
Nietypowa aktywność UEBA w Okta_CL
Opis: Nieoczekiwane działania uwierzytelniania lub zmiany konfiguracji związane z zabezpieczeniami w usłudze Okta, w tym modyfikacje reguł logowania, wymuszanie uwierzytelniania wieloskładnikowego (MFA) lub uprawnienia administracyjne. Takie działanie może wskazywać na próby zmiany mechanizmów kontroli zabezpieczeń tożsamości lub utrzymania dostępu za pośrednictwem uprzywilejowanych zmian.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki chmury okta |
| Taktyka mitre att&CK: | Trwałość, eskalacja uprawnień |
| MITRE ATT&techniki CK: | T1098 — Manipulowanie kontami, T1556 — Modyfikowanie procesu uwierzytelniania |
| Działania: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Powrót do listy | anomalii UEBAPowrót do góry
Uwierzytelnianie nietypowe UEBA
Opis: Nietypowe działanie uwierzytelniania między sygnałami z Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Entra ID, w tym logowania urządzeń, logowania tożsamości zarządzanej i uwierzytelniania jednostki usługi z Microsoft Entra ID. Te anomalie mogą sugerować nieprawidłowe użycie poświadczeń, nadużywanie tożsamości innych niż ludzkie lub próby ruchu bocznego poza typowymi wzorcami dostępu.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Entra ID |
| Taktyka mitre att&CK: | Dostęp początkowy |
| MITRE ATT&techniki CK: | T1078 — prawidłowe konta |
| Działania: |
Powrót do listy | anomalii UEBAPowrót do góry
Nietypowe wykonywanie kodu UEBA
Opis: Osoby atakujące mogą nadużywać interpreterów poleceń i skryptów w celu wykonywania poleceń, skryptów lub plików binarnych. Te interfejsy i języki zapewniają sposoby interakcji z systemami komputerowymi i są wspólną funkcją na wielu różnych platformach.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | dzienniki aktywności Azure |
| Taktyka mitre att&CK: | Wykonanie |
| MITRE ATT&techniki CK: | T1059 — interpreter poleceń i skryptów |
| Techniki podrzędne MITRE ATT&CK: | PowerShell |
| Działania: | Microsoft.Compute/virtualMachines/runCommand/action |
Powrót do listy | anomalii UEBAPowrót do góry
Niszczenie nietypowych danych UEBA
Opis: Osoby atakujące mogą zniszczyć dane i pliki w określonych systemach lub w dużej liczbie w sieci, aby przerwać dostępność systemów, usług i zasobów sieciowych. Niszczenie danych może spowodować, że przechowywane dane będą nieodwracalne dzięki technikom kryminalistycznym poprzez zastępowanie plików lub danych na dyskach lokalnych i zdalnych.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | dzienniki aktywności Azure |
| Taktyka mitre att&CK: | Wpływ |
| MITRE ATT&techniki CK: | T1485 — Niszczenie danych |
| Działania: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Powrót do listy | anomalii UEBAPowrót do góry
Nietypowy transfer danych UEBA z usługi Amazon S3
Opis: Odchylenia w wzorcach dostępu do danych lub pobierania z usługi Amazon Simple Storage Service (S3). Anomalia jest określana przy użyciu behawioralnych punktów odniesienia dla każdego użytkownika, usługi i zasobu, porównując ilość transferu danych, częstotliwość i liczbę obiektów, do których uzyskano dostęp, z normami historycznymi. Znaczące odchylenia — takie jak dostęp zbiorczy po raz pierwszy, wyjątkowo duże pobieranie danych lub działanie z nowych lokalizacji lub aplikacji — mogą wskazywać na potencjalne eksfiltrację danych, naruszenia zasad lub nieprawidłowe użycie naruszeń poświadczeń.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki usługi AWS CloudTrail |
| Taktyka mitre att&CK: | Eksfiltracja |
| MITRE ATT&techniki CK: | T1567 — Eksfiltracja za pośrednictwem usługi sieci Web |
| Działania: | PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload |
Powrót do listy | anomalii UEBAPowrót do góry
Anomalous Defensive Mechanism Modification (Modyfikacja nietypowego mechanizmu obronnego UEBA)
Opis: Przeciwnicy mogą wyłączyć narzędzia zabezpieczeń, aby uniknąć ewentualnego wykrycia ich narzędzi i działań.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | dzienniki aktywności Azure |
| Taktyka mitre att&CK: | Uchylanie się od obrony |
| MITRE ATT&techniki CK: | T1562 — Upośledzone zabezpieczenia |
| Techniki podrzędne MITRE ATT&CK: | Wyłączanie lub modyfikowanie narzędzi Wyłączanie lub modyfikowanie zapory w chmurze |
| Działania: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Powrót do listy | anomalii UEBAPowrót do góry
Nietypowe nieudane logowanie UEBA
Opis: Osoby atakujące bez wcześniejszej wiedzy na temat legalnych poświadczeń w systemie lub środowisku mogą odgadnąć hasła w celu podjęcia próby uzyskania dostępu do kont.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Microsoft Entra dzienniki logowania dzienniki Zabezpieczenia Windows |
| Taktyka mitre att&CK: | Dostęp poświadczeń |
| MITRE ATT&techniki CK: | T1110 — Siła siłowa |
| Działania: |
Microsoft Entra ID: działanie logowania Zabezpieczenia Windows: Nieudane logowanie (identyfikator zdarzenia 4625) |
Powrót do listy | anomalii UEBAPowrót do góry
UEBA Anomalous Federated or SAML Identity Activity in AwsCloudTrail
Opis: Nietypowe działanie tożsamości opartych na tożsamościach opartych na języku SAML (Federated Or Security Assertion Markup Language) obejmujących akcje po raz pierwszy, nieznane lokalizacje geograficzne lub nadmierne wywołania interfejsu API. Takie anomalie mogą wskazywać na przejęcie sesji lub nieprawidłowe użycie poświadczeń federacyjnych.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki usługi AWS CloudTrail |
| Taktyka mitre att&CK: | Dostęp początkowy, trwałość |
| MITRE ATT&techniki CK: | T1078 — Prawidłowe konta, T1550 — Używanie materiałów uwierzytelniania alternatywnego |
| Działania: | UserAuthentication (EXTERNAL_IDP) |
Powrót do listy | anomalii UEBAPowrót do góry
UEBA Anomalous IAM Privilege Modification in AwsCloudTrail
Opis: Odchylenia w zachowaniu administracyjnym zarządzania tożsamościami i dostępem (IAM), takie jak tworzenie, modyfikowanie lub usuwanie ról, użytkowników i grup po raz pierwszy lub załącznik nowych zasad wbudowanych lub zarządzanych. Mogą one wskazywać na eskalację uprawnień lub nadużycie zasad.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki usługi AWS CloudTrail |
| Taktyka mitre att&CK: | Eskalacja uprawnień, trwałość |
| MITRE ATT&techniki CK: | T1136 — Tworzenie konta, T1098 — manipulowanie kontem |
| Działania: | Tworzenie, dodawanie, dołączanie, usuwanie, dezaktywowanie, umieszczanie i aktualizowanie operacji na iam.amazonaws.com, sso-directory.amazonaws.com |
Powrót do listy | anomalii UEBAPowrót do góry
Nietypowe logowanie UEBA w usłudze AwsCloudTrail
Opis: Nietypowe działanie logowania w usługach Amazon Web Services (AWS) oparte na zdarzeniach CloudTrail, takich jak ConsoleLogin i innych atrybutach związanych z uwierzytelnianiem. Anomalie są określane przez odchylenia w zachowaniu użytkownika na podstawie atrybutów, takich jak geolokalizacja, odcisk palca urządzenia, usługodawca internetowy i metoda dostępu, i mogą wskazywać na nieautoryzowane próby dostępu lub potencjalne naruszenia zasad.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki usługi AWS CloudTrail |
| Taktyka mitre att&CK: | Dostęp początkowy |
| MITRE ATT&techniki CK: | T1078 — prawidłowe konta |
| Działania: | ConsoleLogin |
Powrót do listy | anomalii UEBAPowrót do góry
Nietypowe błędy uwierzytelniania wieloskładnikowego UEBA w Okta_CL
Opis: Nietypowe wzorce nieudanych prób uwierzytelniania wieloskładnikowego w usłudze Okta. Te anomalie mogą wynikać z niewłaściwego użycia konta, wypchania poświadczeń lub niewłaściwego używania mechanizmów zaufanych urządzeń i często odzwierciedlają zachowania osoby atakującej na wczesnym etapie, takie jak testowanie skradzionych poświadczeń lub sondowanie zabezpieczeń tożsamości.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki chmury okta |
| Taktyka mitre att&CK: | Trwałość, eskalacja uprawnień |
| MITRE ATT&techniki CK: | T1078 — Prawidłowe konta, T1556 — Modyfikowanie procesu uwierzytelniania |
| Działania: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Powrót do listy | anomalii UEBAPowrót do góry
Nietypowe resetowanie hasła ueba
Opis: Przeciwnicy mogą przerwać dostępność zasobów systemowych i sieciowych, hamując dostęp do kont używanych przez legalnych użytkowników. Konta mogą być usuwane, blokowane lub manipulowane (np. zmienione poświadczenia), aby usunąć dostęp do kont.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | dzienniki inspekcji Microsoft Entra |
| Taktyka mitre att&CK: | Wpływ |
| MITRE ATT&techniki CK: | T1531 — Usuwanie dostępu do konta |
| Działania: | Core Directory/UserManagement/User password reset |
Powrót do listy | anomalii UEBAPowrót do góry
Przyznano nietypowe uprawnienie UEBA
Opis: Adwersarze mogą dodawać poświadczenia kontrolowane przez przeciwników dla jednostek usługi Azure oprócz istniejących legalnych poświadczeń w celu utrzymania trwałego dostępu do kont Azure ofiar.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | dzienniki inspekcji Microsoft Entra |
| Taktyka mitre att&CK: | Trwałości |
| MITRE ATT&techniki CK: | T1098 — Manipulowanie kontami |
| Techniki podrzędne MITRE ATT&CK: | Dodatkowe poświadczenia jednostki usługi Azure |
| Działania: | Aprowizowanie konta/Zarządzanie aplikacjami/Dodawanie przypisania roli aplikacji do jednostki usługi |
Powrót do listy | anomalii UEBAPowrót do góry
Anomalous Secret lub KMS Key Access in AwsCloudTrail (Dostęp do nietypowego klucza tajnego UEBA lub klucza KMS w usłudze AwsCloudTrail)
Opis: Podejrzany dostęp do zasobów usługi AWS Secrets Manager lub usługi zarządzania kluczami (KMS). Dostęp po raz pierwszy lub niezwykle wysoka częstotliwość dostępu może wskazywać na zbieranie poświadczeń lub próby eksfiltracji danych.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki usługi AWS CloudTrail |
| Taktyka mitre att&CK: | Dostęp do poświadczeń, kolekcja |
| MITRE ATT&techniki CK: | T1555 — poświadczenia z magazynów haseł |
| Działania: | GetSecretValue BatchGetSecretValue Klucze listy ListSecrets PutSecretValue CreateSecret UpdateSecret DeleteSecret Createkey PutKeyPolicy |
Powrót do listy | anomalii UEBAPowrót do góry
Nietypowe logowanie UEBA
Opis: Osoby atakujące mogą ukraść poświadczenia określonego użytkownika lub konta usługi przy użyciu technik dostępu poświadczeń lub przechwycić poświadczenia wcześniej w procesie rekonesansu za pośrednictwem inżynierii społecznej w celu uzyskania trwałości.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Microsoft Entra dzienniki logowania dzienniki Zabezpieczenia Windows |
| Taktyka mitre att&CK: | Trwałości |
| MITRE ATT&techniki CK: | T1078 — prawidłowe konta |
| Działania: |
Microsoft Entra ID: działanie logowania Zabezpieczenia Windows: Pomyślne logowanie (identyfikator zdarzenia 4624) |
Powrót do listy | anomalii UEBAPowrót do góry
Nietypowe zachowanie usługi STS AssumeRole w usłudze AwsCloudTrail
Opis: Nietypowe użycie akcji AssumeRole usługi AWS Security Token Service (STS), w szczególności ról uprzywilejowanych lub dostępu między kontami. Odchylenia od typowego użycia mogą wskazywać na eskalację uprawnień lub naruszenie tożsamości.
| Atrybut | Value |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki usługi AWS CloudTrail |
| Taktyka mitre att&CK: | Eskalacja uprawnień, Uchylanie się od obrony |
| MITRE ATT&techniki CK: | T1548 — Mechanizm kontroli podniesienia uprawnień nadużyć, T1078 — prawidłowe konta |
| Działania: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity ZałóżmyRoot |
Powrót do listy | anomalii UEBAPowrót do góry
Anomalie oparte na uczeniu maszynowym
Microsoft Sentinel dostosowywalne anomalie oparte na uczeniu maszynowym mogą identyfikować nietypowe zachowanie za pomocą szablonów reguł analizy, które można od razu wprowadzić do pracy. Mimo że anomalie niekoniecznie same wskazują na złośliwe lub nawet podejrzane zachowanie, mogą być używane do ulepszania wykrywania, badania i wyszukiwania zagrożeń.
- Nietypowe operacje Azure
- Nietypowe wykonywanie kodu
- Nietypowe tworzenie konta lokalnego
- Nietypowe działania użytkowników w programie Office Exchange
- Próba próby użycia siłowej komputera
- Próba ataku siłowego konta użytkownika
- Próba ataku siłowego konta użytkownika na typ logowania
- Próba ataku siłowego konta użytkownika na przyczynę awarii
- Wykrywanie zachowania sygnału nawigacyjnego sieci wygenerowanego przez maszynę
- Algorytm generowania domeny (DGA) w domenach DNS
- Nadmierne pobieranie przez Palo Alto GlobalProtect
- Nadmierne przekazywanie za pośrednictwem Aplikacji Palo Alto GlobalProtect
- Potencjalny algorytm generowania domeny (DGA) w domenach DNS następnego poziomu
- Podejrzana liczba wywołań interfejsu API platformy AWS ze źródłowego adresu IP innych niż AWS
- Podejrzana liczba wywołań interfejsu API zapisu platformy AWS z konta użytkownika
- Podejrzana liczba logowań do komputera
- Podejrzana liczba logowań do komputera z podwyższonym poziomem tokenu
- Podejrzana liczba logowań do konta użytkownika
- Podejrzana liczba logowań do konta użytkownika według typów logowania
- Podejrzana liczba logowań do konta użytkownika z podwyższonym poziomem uprawnień tokenu
Nietypowe operacje Azure
Opis: Ten algorytm wykrywania zbiera 21-dniowe dane dotyczące operacji Azure pogrupowanych według użytkownika w celu wytrenowania tego modelu uczenia maszynowego. Algorytm generuje następnie anomalie w przypadku użytkowników, którzy wykonali sekwencje operacji niezbyt często w swoich obszarach roboczych. Wytrenowany model uczenia maszynowego ocenia operacje wykonywane przez użytkownika i uwzględnia nietypowe operacje, których wynik jest większy niż zdefiniowany próg.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | dzienniki aktywności Azure |
| Taktyka mitre att&CK: | Dostęp początkowy |
| MITRE ATT&techniki CK: | T1190 — Exploit Public-Facing Application |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Nietypowe wykonywanie kodu
Opis: Osoby atakujące mogą nadużywać interpreterów poleceń i skryptów w celu wykonywania poleceń, skryptów lub plików binarnych. Te interfejsy i języki zapewniają sposoby interakcji z systemami komputerowymi i są wspólną funkcją na wielu różnych platformach.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | dzienniki aktywności Azure |
| Taktyka mitre att&CK: | Wykonanie |
| MITRE ATT&techniki CK: | T1059 — interpreter poleceń i skryptów |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Nietypowe tworzenie konta lokalnego
Opis: Ten algorytm wykrywa nietypowe tworzenie konta lokalnego w systemach Windows. Osoby atakujące mogą tworzyć konta lokalne w celu utrzymania dostępu do systemów docelowych. Ten algorytm analizuje działania tworzenia konta lokalnego w ciągu ostatnich 14 dni przez użytkowników. Szuka podobnej aktywności w bieżącym dniu od użytkowników, którzy nie byli wcześniej widziani w działaniach historycznych. Możesz określić listę dozwolonych, aby filtrować znanych użytkowników przed wyzwoleniem tej anomalii.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| Taktyka mitre att&CK: | Trwałości |
| MITRE ATT&techniki CK: | T1136 — tworzenie konta |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Nietypowe działania użytkowników w programie Office Exchange
Opis: Ten model uczenia maszynowego grupuje dzienniki programu Office Exchange dla poszczególnych użytkowników w przedziały godzinowe. Definiujemy jedną godzinę jako sesję. Model jest trenowany w ciągu ostatnich 7 dni zachowania dla wszystkich zwykłych użytkowników (nieadministracyjnych). Wskazuje nietypowe sesje programu Office Exchange użytkownika w ostatnim dniu.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | Dziennik aktywności pakietu Office (Exchange) |
| Taktyka mitre att&CK: | Trwałości Kolekcji |
| MITRE ATT&techniki CK: |
Kolekcji: T1114 — kolekcja Email T1213 — dane z repozytoriów informacji Trwałości: T1098 — Manipulowanie kontami T1136 — tworzenie konta T1137 — uruchamianie aplikacji pakietu Office T1505 — składnik oprogramowania serwera |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Próba próby użycia siłowej komputera
Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych prób logowania (identyfikator zdarzenia zabezpieczeń 4625) na komputer w ciągu ostatniego dnia. Model jest trenowany w poprzednich 21 dniach dzienników zdarzeń zabezpieczeń systemu Windows.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| Taktyka mitre att&CK: | Dostęp poświadczeń |
| MITRE ATT&techniki CK: | T1110 — Siła siłowa |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Próba ataku siłowego konta użytkownika
Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych prób logowania (identyfikator zdarzenia zabezpieczeń 4625) na konto użytkownika w ciągu ostatniego dnia. Model jest trenowany w poprzednich 21 dniach dzienników zdarzeń zabezpieczeń systemu Windows.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| Taktyka mitre att&CK: | Dostęp poświadczeń |
| MITRE ATT&techniki CK: | T1110 — Siła siłowa |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Próba ataku siłowego konta użytkownika na typ logowania
Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych prób logowania (identyfikator zdarzenia zabezpieczeń 4625) na konto użytkownika na typ logowania w ciągu ostatniego dnia. Model jest trenowany w poprzednich 21 dniach dzienników zdarzeń zabezpieczeń systemu Windows.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| Taktyka mitre att&CK: | Dostęp poświadczeń |
| MITRE ATT&techniki CK: | T1110 — Siła siłowa |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Próba ataku siłowego konta użytkownika na przyczynę awarii
Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych prób logowania (identyfikator zdarzenia zabezpieczeń 4625) na konto użytkownika na przyczynę awarii w ciągu ostatniego dnia. Model jest trenowany w poprzednich 21 dniach dzienników zdarzeń zabezpieczeń systemu Windows.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| Taktyka mitre att&CK: | Dostęp poświadczeń |
| MITRE ATT&techniki CK: | T1110 — Siła siłowa |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Wykrywanie zachowania sygnału nawigacyjnego sieci wygenerowanego przez maszynę
Opis: Ten algorytm identyfikuje wzorce sygnału nawigacyjnego z dzienników połączeń ruchu sieciowego na podstawie wzorców różnicy czasu cyklicznego. Każde połączenie sieciowe z niezaufanymi sieciami publicznymi w powtarzalnym czasie jest wskazaniem wywołań zwrotnych złośliwego oprogramowania lub prób eksfiltracji danych. Algorytm obliczy różnicę czasu między kolejnymi połączeniami sieciowymi między tym samym źródłowym adresem IP a docelowym adresem IP, a także liczbę połączeń w sekwencji różnicy czasu między tymi samymi źródłami i miejscami docelowymi. Procent sygnału nawigacyjnego jest obliczany jako połączenia w sekwencji różnicy czasu względem łącznej liczby połączeń w ciągu dnia.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | CommonSecurityLog (PAN) |
| Taktyka mitre att&CK: | Polecenie i kontrolka |
| MITRE ATT&techniki CK: | T1071 — Protokół warstwy aplikacji T1132 — Kodowanie danych T1001 — zaciemnianie danych T1568 — rozdzielczość dynamiczna T1573 — szyfrowany kanał T1008 — kanały rezerwowe T1104 — kanały wieloetapowe T1095 — protokół warstwy bez aplikacji T1571 — port niestandardowy T1572 — Tunelowanie protokołów T1090 — serwer proxy T1205 — Sygnalizacja ruchu T1102 — usługa sieci Web |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Algorytm generowania domeny (DGA) w domenach DNS
Opis: Ten model uczenia maszynowego wskazuje potencjalne domeny DGA z ostatniego dnia w dziennikach DNS. Algorytm ma zastosowanie do rekordów DNS, które rozpoznają adresy IPv4 i IPv6.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | Zdarzenia DNS |
| Taktyka mitre att&CK: | Polecenie i kontrolka |
| MITRE ATT&techniki CK: | T1568 — rozdzielczość dynamiczna |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Nadmierne pobieranie przez Palo Alto GlobalProtect
Opis: Ten algorytm wykrywa niezwykle dużą ilość pobierania na konto użytkownika za pośrednictwem rozwiązania sieci VPN Palo Alto. Model jest trenowany w ciągu ostatnich 14 dni dzienników sieci VPN. Wskazuje to na nietypową dużą liczbę pobrań w ciągu ostatniego dnia.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | CommonSecurityLog (PAN VPN) |
| Taktyka mitre att&CK: | Eksfiltracja |
| MITRE ATT&techniki CK: | T1030 — limity rozmiaru transferu danych T1041 — Eksfiltracja za pośrednictwem kanału C2 T1011 — Eksfiltracja za pośrednictwem innego nośnika sieciowego T1567 — Eksfiltracja za pośrednictwem usługi sieci Web T1029 — zaplanowany transfer T1537 — transfer danych do konta w chmurze |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Nadmierne przekazywanie za pośrednictwem Aplikacji Palo Alto GlobalProtect
Opis: Ten algorytm wykrywa niezwykle dużą ilość przekazywania na konto użytkownika za pośrednictwem rozwiązania sieci VPN Palo Alto. Model jest trenowany w ciągu ostatnich 14 dni dzienników sieci VPN. Oznacza to nietypową dużą ilość przekazywania w ciągu ostatniego dnia.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | CommonSecurityLog (PAN VPN) |
| Taktyka mitre att&CK: | Eksfiltracja |
| MITRE ATT&techniki CK: | T1030 — limity rozmiaru transferu danych T1041 — Eksfiltracja za pośrednictwem kanału C2 T1011 — Eksfiltracja za pośrednictwem innego nośnika sieciowego T1567 — Eksfiltracja za pośrednictwem usługi sieci Web T1029 — zaplanowany transfer T1537 — transfer danych do konta w chmurze |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Potencjalny algorytm generowania domeny (DGA) w domenach DNS następnego poziomu
Opis: Ten model uczenia maszynowego wskazuje domeny następnego poziomu (trzeciego poziomu i nowsze) nazw domen z ostatniego dnia dzienników DNS, które są nietypowe. Potencjalnie mogą to być dane wyjściowe algorytmu generowania domeny (DGA). Anomalia dotyczy rekordów DNS rozpoznanych na adresach IPv4 i IPv6.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | Zdarzenia DNS |
| Taktyka mitre att&CK: | Polecenie i kontrolka |
| MITRE ATT&techniki CK: | T1568 — rozdzielczość dynamiczna |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Podejrzana liczba wywołań interfejsu API platformy AWS ze źródłowego adresu IP innych niż AWS
Opis: Ten algorytm wykrywa niezwykle dużą liczbę wywołań interfejsu API platformy AWS na konto użytkownika na obszar roboczy z źródłowych adresów IP spoza zakresów źródłowych adresów IP platformy AWS w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni zdarzeń dziennika usługi CloudTrail platformy AWS według źródłowego adresu IP. To działanie może wskazywać, że konto użytkownika zostało naruszone.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | Dzienniki usługi AWS CloudTrail |
| Taktyka mitre att&CK: | Dostęp początkowy |
| MITRE ATT&techniki CK: | T1078 — prawidłowe konta |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Podejrzana liczba wywołań interfejsu API zapisu platformy AWS z konta użytkownika
Opis: Ten algorytm wykrywa niezwykle dużą liczbę wywołań interfejsu API zapisu platformy AWS na konto użytkownika w ciągu ostatniego dnia. Model jest trenowany przez poprzednie 21 dni zdarzeń dziennika usługi AWS CloudTrail według konta użytkownika. To działanie może wskazywać, że konto zostało naruszone.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | Dzienniki usługi AWS CloudTrail |
| Taktyka mitre att&CK: | Dostęp początkowy |
| MITRE ATT&techniki CK: | T1078 — prawidłowe konta |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Podejrzana liczba logowań do komputera
Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) na komputerze w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| Taktyka mitre att&CK: | Dostęp początkowy |
| MITRE ATT&techniki CK: | T1078 — prawidłowe konta |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Podejrzana liczba logowań do komputera z podwyższonym poziomem tokenu
Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) z uprawnieniami administracyjnymi na komputerze w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| Taktyka mitre att&CK: | Dostęp początkowy |
| MITRE ATT&techniki CK: | T1078 — prawidłowe konta |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Podejrzana liczba logowań do konta użytkownika
Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) na konto użytkownika w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| Taktyka mitre att&CK: | Dostęp początkowy |
| MITRE ATT&techniki CK: | T1078 — prawidłowe konta |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Podejrzana liczba logowań do konta użytkownika według typów logowania
Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) na konto użytkownika według różnych typów logowania w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| Taktyka mitre att&CK: | Dostęp początkowy |
| MITRE ATT&techniki CK: | T1078 — prawidłowe konta |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Podejrzana liczba logowań do konta użytkownika z podwyższonym poziomem uprawnień tokenu
Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) z uprawnieniami administracyjnymi na konto użytkownika w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.
| Atrybut | Value |
|---|---|
| Typ anomalii: | Dostosowywalne uczenie maszynowe |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| Taktyka mitre att&CK: | Dostęp początkowy |
| MITRE ATT&techniki CK: | T1078 — prawidłowe konta |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Następne kroki
- Dowiedz się więcej na temat anomalii generowanych przez uczenie maszynowe w Microsoft Sentinel.
- Dowiedz się, jak pracować z regułami anomalii.
- Badanie zdarzeń za pomocą Microsoft Sentinel.