Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wymieniono anomalie wykrywane przez usługę Microsoft Sentinel przy użyciu różnych modeli uczenia maszynowego.
Wykrywanie anomalii działa przez analizowanie zachowania użytkowników w środowisku w danym okresie i konstruowanie punktu odniesienia uzasadnionej aktywności. Po ustanowieniu punktu odniesienia wszelkie działania poza normalnymi parametrami są uznawane za nietypowe i dlatego podejrzane.
Usługa Microsoft Sentinel używa dwóch różnych modeli do tworzenia punktów odniesienia i wykrywania anomalii.
Note
Następujące wykrycia anomalii są przerywane od 26 marca 2024 r., ze względu na niską jakość wyników:
- Reputacja domeny Palo Alto anomalia
- Logowania w wielu regionach w ciągu jednego dnia za pośrednictwem aplikacji Palo Alto GlobalProtect
Important
Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.
Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.
Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).
UEBA anomalies
Usługa Sentinel UEBA wykrywa anomalie na podstawie dynamicznych punktów odniesienia utworzonych dla każdej jednostki w różnych danych wejściowych. Zachowanie punktu odniesienia każdej jednostki jest ustawiane zgodnie z własnymi działaniami historycznymi, ich elementami równorzędnymi i całościami organizacji. Anomalie mogą być wyzwalane przez korelację różnych atrybutów, takich jak typ akcji, lokalizacja geograficzna, urządzenie, zasób, usługodawca internetowym i inne.
Aby wykryć anomalie UEBA, należy włączyć funkcję UEBA .
- Nietypowe usuwanie dostępu do konta
- Nietypowe tworzenie konta
- Nietypowe usuwanie konta
- Nietypowe manipulowanie kontem
- Nietypowe wykonywanie kodu (UEBA)
- Nietypowe niszczenie danych
- Nietypowa modyfikacja mechanizmu obronnego
- Nietypowe logowanie nie powiodło się
- Nietypowe resetowanie hasła
- Nietypowe uprawnienia przyznane
- Anomalous Sign-in
Nietypowe usuwanie dostępu do konta
Description: An attacker may interrupt the availability of system and network resources by blocking access to accounts used by legitimate users. Osoba atakująca może usunąć, zablokować lub manipulować kontem (na przykład zmieniając jego poświadczenia), aby usunąć dostęp do niego.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Dzienniki aktywności platformy Azure |
| TAKTYKA MITRE ATT&CK: | Impact |
| TECHNIKI MITRE ATT&CK: | T1531 — usuwanie dostępu do konta |
| Activity: | Microsoft.Authorization/roleAssignments/delete Log Out |
Powrót do listy | Powrót do góry
Nietypowe tworzenie konta
Description: Adversaries may create an account to maintain access to targeted systems. Mając wystarczający poziom dostępu, tworzenie takich kont może służyć do ustanawiania dodatkowego dostępu poświadczeń bez konieczności wdrażania trwałych narzędzi dostępu zdalnego w systemie.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Dzienniki inspekcji usługi Microsoft Entra |
| TAKTYKA MITRE ATT&CK: | Persistence |
| TECHNIKI MITRE ATT&CK: | T1136 — Tworzenie konta |
| Techniki podrzędne MITRE ATT&CK: | Cloud Account |
| Activity: | Katalog podstawowy/userManagement/Dodawanie użytkownika |
Powrót do listy | Powrót do góry
Nietypowe usuwanie konta
Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Konta mogą zostać usunięte, zablokowane lub manipulowane (np. zmienione poświadczenia), aby usunąć dostęp do kont.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Dzienniki inspekcji usługi Microsoft Entra |
| TAKTYKA MITRE ATT&CK: | Impact |
| TECHNIKI MITRE ATT&CK: | T1531 — usuwanie dostępu do konta |
| Activity: | Katalog podstawowy/użytkownikZarządzanie/Usuwanie użytkownika Katalog podstawowy/urządzenie/usuwanie użytkownika Katalog podstawowy/użytkownikZarządzanie/Usuwanie użytkownika |
Powrót do listy | Powrót do góry
Nietypowe manipulowanie kontem
Description: Adversaries may manipulate accounts to maintain access to target systems. Te akcje obejmują dodawanie nowych kont do grup z wysokimi uprawnieniami. Dragonfly 2.0, na przykład, dodano nowo utworzone konta do grupy administratorów, aby zachować podwyższony poziom dostępu. Poniższe zapytanie generuje dane wyjściowe wszystkich użytkowników usługi Radius o wysokiej wydajności wykonujących funkcję "Aktualizuj użytkownika" (zmianę nazwy) na rolę uprzywilejowaną lub tych, którzy zmienili użytkowników po raz pierwszy.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Dzienniki inspekcji usługi Microsoft Entra |
| TAKTYKA MITRE ATT&CK: | Persistence |
| TECHNIKI MITRE ATT&CK: | T1098 — manipulowanie kontem |
| Activity: | Katalog podstawowy/użytkownikZarządzanie/Aktualizowanie użytkownika |
Powrót do listy | Powrót do góry
Nietypowe wykonywanie kodu (UEBA)
Description: Adversaries may abuse command and script interpreters to execute commands, scripts, or binaries. Te interfejsy i języki zapewniają sposoby interakcji z systemami komputerowymi i są wspólną funkcją na wielu różnych platformach.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Dzienniki aktywności platformy Azure |
| TAKTYKA MITRE ATT&CK: | Execution |
| TECHNIKI MITRE ATT&CK: | T1059 — interpreter poleceń i skryptów |
| Techniki podrzędne MITRE ATT&CK: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
Powrót do listy | Powrót do góry
Nietypowe niszczenie danych
Description: Adversaries may destroy data and files on specific systems or in large numbers on a network to interrupt availability to systems, services, and network resources. Niszczenie danych może renderować przechowywane dane w sposób nieodzyskiwalny przez techniki kryminalistyczne poprzez zastępowanie plików lub danych na lokalnych i zdalnych dyskach.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Dzienniki aktywności platformy Azure |
| TAKTYKA MITRE ATT&CK: | Impact |
| TECHNIKI MITRE ATT&CK: | T1485 — niszczenie danych |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Powrót do listy | Powrót do góry
Nietypowa modyfikacja mechanizmu obronnego
Description: Adversaries may disable security tools to avoid possible detection of their tools and activities.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Dzienniki aktywności platformy Azure |
| TAKTYKA MITRE ATT&CK: | Defense Evasion |
| TECHNIKI MITRE ATT&CK: | T1562 - Upośledzenie obrony |
| Techniki podrzędne MITRE ATT&CK: | Wyłączanie lub modyfikowanie narzędzi Wyłączanie lub modyfikowanie zapory w chmurze |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Powrót do listy | Powrót do góry
Nietypowe logowanie nie powiodło się
Description: Adversaries with no prior knowledge of legitimate credentials within the system or environment may guess passwords to attempt access to accounts.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Dzienniki logowania w usłudze Microsoft Entra dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Credential Access |
| TECHNIKI MITRE ATT&CK: | T1110 — Siły brutalne |
| Activity: |
Microsoft Entra ID: Działanie logowania Windows Security: Failed login (Event ID 4625) |
Powrót do listy | Powrót do góry
Nietypowe resetowanie hasła
Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Konta mogą zostać usunięte, zablokowane lub manipulowane (np. zmienione poświadczenia), aby usunąć dostęp do kont.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Dzienniki inspekcji usługi Microsoft Entra |
| TAKTYKA MITRE ATT&CK: | Impact |
| TECHNIKI MITRE ATT&CK: | T1531 — usuwanie dostępu do konta |
| Activity: | Katalog podstawowy/UserManagement/Resetowanie hasła użytkownika |
Powrót do listy | Powrót do góry
Nietypowe uprawnienia przyznane
Description: Adversaries may add adversary-controlled credentials for Azure Service Principals in addition to existing legitimate credentials to maintain persistent access to victim Azure accounts.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Dzienniki inspekcji usługi Microsoft Entra |
| TAKTYKA MITRE ATT&CK: | Persistence |
| TECHNIKI MITRE ATT&CK: | T1098 — manipulowanie kontem |
| Techniki podrzędne MITRE ATT&CK: | Dodatkowe poświadczenia jednostki usługi platformy Azure |
| Activity: | Aprowizowanie konta/zarządzanie aplikacjami/Dodawanie przypisania roli aplikacji do jednostki usługi |
Powrót do listy | Powrót do góry
Anomalous Sign-in
Description: Adversaries may steal the credentials of a specific user or service account using Credential Access techniques or capture credentials earlier in their reconnaissance process through social engineering for means of gaining Persistence.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Dzienniki logowania w usłudze Microsoft Entra dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Persistence |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta |
| Activity: |
Microsoft Entra ID: Działanie logowania Windows Security: Successful login (Event ID 4624) |
Powrót do listy | Powrót do góry
Anomalie oparte na uczeniu maszynowym
Dostosowywalne anomalie oparte na uczeniu maszynowym w usłudze Microsoft Sentinel mogą identyfikować nietypowe zachowanie za pomocą szablonów reguł analitycznych, które można umieścić w odpowiednim czasie. Chociaż anomalie niekoniecznie wskazują złośliwe lub nawet podejrzane zachowanie, mogą służyć do ulepszania wykrywania, badania i wyszukiwania zagrożeń.
- Nietypowe operacje platformy Azure
- Nietypowe wykonywanie kodu
- Nietypowe tworzenie konta lokalnego
- Nietypowe działania użytkownika w programie Office Exchange
- Podjęto próbę ataku siłowego komputera
- Podjęto próbę ataku siłowego konta użytkownika
- Podjęto próbę ataku siłowego konta użytkownika na typ logowania
- Podjęto próbę ataku siłowego konta użytkownika na przyczynę niepowodzenia
- Wykrywanie zachowania sygnału nawigacyjnego wygenerowanego przez maszynę
- Algorytm generowania domeny (DGA) w domenach DNS
- Nadmierne pobieranie za pośrednictwem aplikacji Palo Alto GlobalProtect
- Nadmierne przekazywanie za pośrednictwem aplikacji Palo Alto GlobalProtect
- Potencjalny algorytm generowania domeny (DGA) w domenach DNS na następnym poziomie
- Podejrzana liczba wywołań interfejsu API platformy AWS ze źródłowego adresu IP innego niż AWS
- Podejrzana liczba wywołań interfejsu API zapisu platformy AWS z konta użytkownika
- Podejrzana liczba logowań na komputerze
- Podejrzana liczba logowań na komputerze z podwyższonym poziomem uprawnień
- Podejrzana liczba logowań do konta użytkownika
- Podejrzana liczba logowań do konta użytkownika według typów logowania
- Podejrzana liczba logowań do konta użytkownika z podwyższonym poziomem uprawnień
Nietypowe operacje platformy Azure
Description: This detection algorithm collects 21 days' worth of data on Azure operations grouped by user to train this ML model. Następnie algorytm generuje anomalie w przypadku użytkowników, którzy wykonali sekwencje operacji rzadko w swoich obszarach roboczych. Wytrenowany model uczenia maszynowego ocenia operacje wykonywane przez użytkownika i uwzględnia nietypowe, których wynik jest większy niż zdefiniowany próg.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | Dzienniki aktywności platformy Azure |
| TAKTYKA MITRE ATT&CK: | Initial Access |
| TECHNIKI MITRE ATT&CK: | T1190 — Wykorzystanie aplikacji dostępnej publicznie |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Nietypowe wykonywanie kodu
Description: Attackers may abuse command and script interpreters to execute commands, scripts, or binaries. Te interfejsy i języki zapewniają sposoby interakcji z systemami komputerowymi i są wspólną funkcją na wielu różnych platformach.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | Dzienniki aktywności platformy Azure |
| TAKTYKA MITRE ATT&CK: | Execution |
| TECHNIKI MITRE ATT&CK: | T1059 — interpreter poleceń i skryptów |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Nietypowe tworzenie konta lokalnego
Description: This algorithm detects anomalous local account creation on Windows systems. Osoby atakujące mogą tworzyć konta lokalne, aby zachować dostęp do systemów docelowych. Ten algorytm analizuje działania tworzenia konta lokalnego w ciągu ostatnich 14 dni od użytkowników. Szuka podobnych działań w bieżącym dniu od użytkowników, którzy nie byli wcześniej widziani w działaniu historycznym. Możesz określić listę dozwolonych, aby filtrować znanych użytkowników z wyzwalania tej anomalii.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Persistence |
| TECHNIKI MITRE ATT&CK: | T1136 — Tworzenie konta |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Nietypowe działania użytkownika w programie Office Exchange
Description: This machine learning model groups the Office Exchange logs on a per-user basis into hourly buckets. Definiujemy jedną godzinę jako sesję. Model jest trenowany w ciągu ostatnich 7 dni od wszystkich zwykłych (niebędących administratorami) użytkowników. Wskazuje on nietypowe sesje programu Office Exchange użytkownika w ciągu ostatniego dnia.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | Dziennik aktywności pakietu Office (Exchange) |
| TAKTYKA MITRE ATT&CK: | Persistence Collection |
| TECHNIKI MITRE ATT&CK: |
Collection: T1114 — Kolekcja wiadomości e-mail T1213 — dane z repozytoriów informacji Persistence: T1098 — manipulowanie kontem T1136 — Tworzenie konta T1137 — Uruchamianie aplikacji pakietu Office T1505 — składnik oprogramowania serwera |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Podjęto próbę ataku siłowego komputera
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per computer over the past day. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Credential Access |
| TECHNIKI MITRE ATT&CK: | T1110 — Siły brutalne |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Podjęto próbę ataku siłowego konta użytkownika
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account over the past day. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Credential Access |
| TECHNIKI MITRE ATT&CK: | T1110 — Siły brutalne |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Podjęto próbę ataku siłowego konta użytkownika na typ logowania
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per logon type over the past day. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Credential Access |
| TECHNIKI MITRE ATT&CK: | T1110 — Siły brutalne |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Podjęto próbę ataku siłowego konta użytkownika na przyczynę niepowodzenia
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per failure reason over the past day. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Credential Access |
| TECHNIKI MITRE ATT&CK: | T1110 — Siły brutalne |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Wykrywanie zachowania sygnału nawigacyjnego wygenerowanego przez maszynę
Description: This algorithm identifies beaconing patterns from network traffic connection logs based on recurrent time delta patterns. Każde połączenie sieciowe w niezaufanych sieciach publicznych w powtarzającym się czasie różnice wskazuje na wywołania zwrotne złośliwego oprogramowania lub próby eksfiltracji danych. Algorytm obliczy różnicę czasu między kolejnymi połączeniami sieciowymi między tym samym źródłowym adresem IP i docelowym adresem IP, a także liczbą połączeń w sekwencji różnic czasowej między tymi samymi źródłami i miejscami docelowymi. Wartość procentowa sygnału nawigacyjnego jest obliczana jako połączenia w sekwencji różnic czasu względem łącznej liczby połączeń w ciągu dnia.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | CommonSecurityLog (PAN) |
| TAKTYKA MITRE ATT&CK: | Sterowanie i kontrola |
| TECHNIKI MITRE ATT&CK: | T1071 — Protokół warstwy aplikacji T1132 — kodowanie danych T1001 — zaciemnianie danych T1568 — rozdzielczość dynamiczna T1573 — szyfrowany kanał T1008 — kanały rezerwowe T1104 — kanały wieloetapowe T1095 — protokół warstwy aplikacji nienależące do aplikacji T1571 — port inny niż standardowy T1572 — tunelowanie protokołu T1090 — serwer proxy T1205 — Sygnalizacja ruchu T1102 — usługa sieci Web |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Algorytm generowania domeny (DGA) w domenach DNS
Description: This machine learning model indicates potential DGA domains from the past day in the DNS logs. Algorytm dotyczy rekordów DNS rozpoznawanych jako adresy IPv4 i IPv6.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | DNS Events |
| TAKTYKA MITRE ATT&CK: | Sterowanie i kontrola |
| TECHNIKI MITRE ATT&CK: | T1568 — rozdzielczość dynamiczna |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Nadmierne pobieranie za pośrednictwem aplikacji Palo Alto GlobalProtect
Description: This algorithm detects unusually high volume of download per user account through the Palo Alto VPN solution. Model jest trenowany w ciągu ostatnich 14 dni dzienników sieci VPN. Wskazuje to nietypowe duże ilości pobrań w ciągu ostatniego dnia.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | CommonSecurityLog (PAN VPN) |
| TAKTYKA MITRE ATT&CK: | Exfiltration |
| TECHNIKI MITRE ATT&CK: | T1030 — limity rozmiaru transferu danych T1041 — Eksfiltracja przez kanał C2 T1011 — eksfiltracja za pośrednictwem innego medium sieciowego T1567 — eksfiltracja za pośrednictwem usługi internetowej T1029 — Zaplanowany transfer T1537 — transfer danych na konto w chmurze |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Nadmierne przekazywanie za pośrednictwem aplikacji Palo Alto GlobalProtect
Description: This algorithm detects unusually high volume of upload per user account through the Palo Alto VPN solution. Model jest trenowany w ciągu ostatnich 14 dni dzienników sieci VPN. Wskazuje on nietypowy duży wolumen przekazywania w ciągu ostatniego dnia.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | CommonSecurityLog (PAN VPN) |
| TAKTYKA MITRE ATT&CK: | Exfiltration |
| TECHNIKI MITRE ATT&CK: | T1030 — limity rozmiaru transferu danych T1041 — Eksfiltracja przez kanał C2 T1011 — eksfiltracja za pośrednictwem innego medium sieciowego T1567 — eksfiltracja za pośrednictwem usługi internetowej T1029 — Zaplanowany transfer T1537 — transfer danych na konto w chmurze |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Potencjalny algorytm generowania domeny (DGA) w domenach DNS na następnym poziomie
Description: This machine learning model indicates the next-level domains (third-level and up) of the domain names from the last day of DNS logs that are unusual. Potencjalnie mogą to być dane wyjściowe algorytmu generowania domeny (DGA). Anomalia dotyczy rekordów DNS rozpoznawanych jako adresy IPv4 i IPv6.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | DNS Events |
| TAKTYKA MITRE ATT&CK: | Sterowanie i kontrola |
| TECHNIKI MITRE ATT&CK: | T1568 — rozdzielczość dynamiczna |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Podejrzana liczba wywołań interfejsu API platformy AWS ze źródłowego adresu IP innego niż AWS
Description: This algorithm detects an unusually high volume of AWS API calls per user account per workspace, from source IP addresses outside of AWS's source IP ranges, within the last day. Model jest trenowany w ciągu ostatnich 21 dni zdarzeń dziennika platformy AWS CloudTrail według źródłowego adresu IP. To działanie może wskazywać, że konto użytkownika zostało naruszone.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | Dzienniki usługi CLOUDTrail platformy AWS |
| TAKTYKA MITRE ATT&CK: | Initial Access |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Podejrzana liczba wywołań interfejsu API zapisu platformy AWS z konta użytkownika
Description: This algorithm detects an unusually high volume of AWS write API calls per user account within the last day. Model jest trenowany w ciągu ostatnich 21 dni zdarzeń dziennika usługi AWS CloudTrail według konta użytkownika. To działanie może wskazywać, że konto zostało naruszone.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | Dzienniki usługi CLOUDTrail platformy AWS |
| TAKTYKA MITRE ATT&CK: | Initial Access |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Podejrzana liczba logowań na komputerze
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per computer over the past day. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Initial Access |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Podejrzana liczba logowań na komputerze z podwyższonym poziomem uprawnień
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per computer, over the last day. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Initial Access |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Podejrzana liczba logowań do konta użytkownika
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account over the past day. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Initial Access |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Podejrzana liczba logowań do konta użytkownika według typów logowania
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account, by different logon types, over the past day. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Initial Access |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Podejrzana liczba logowań do konta użytkownika z podwyższonym poziomem uprawnień
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per user account, over the last day. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.
| Attribute | Value |
|---|---|
| Anomaly type: | Możliwość dostosowywania uczenia maszynowego |
| Data sources: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Initial Access |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta |
Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry
Next steps
Dowiedz się więcej o anomaliach generowanych przez uczenie maszynowe w usłudze Microsoft Sentinel.
Dowiedz się, jak pracować z regułami anomalii.
Investigate incidents with Microsoft Sentinel.