Udostępnij za pośrednictwem


Anomalie wykryte przez aparat uczenia maszynowego usługi Microsoft Sentinel

W tym artykule wymieniono anomalie wykrywane przez usługę Microsoft Sentinel przy użyciu różnych modeli uczenia maszynowego.

Wykrywanie anomalii działa przez analizowanie zachowania użytkowników w środowisku w danym okresie i konstruowanie punktu odniesienia uzasadnionej aktywności. Po ustanowieniu punktu odniesienia wszelkie działania poza normalnymi parametrami są uznawane za nietypowe i dlatego podejrzane.

Usługa Microsoft Sentinel używa dwóch różnych modeli do tworzenia punktów odniesienia i wykrywania anomalii.

Note

Następujące wykrycia anomalii są przerywane od 26 marca 2024 r., ze względu na niską jakość wyników:

  • Reputacja domeny Palo Alto anomalia
  • Logowania w wielu regionach w ciągu jednego dnia za pośrednictwem aplikacji Palo Alto GlobalProtect

Important

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

UEBA anomalies

Usługa Sentinel UEBA wykrywa anomalie na podstawie dynamicznych punktów odniesienia utworzonych dla każdej jednostki w różnych danych wejściowych. Zachowanie punktu odniesienia każdej jednostki jest ustawiane zgodnie z własnymi działaniami historycznymi, ich elementami równorzędnymi i całościami organizacji. Anomalie mogą być wyzwalane przez korelację różnych atrybutów, takich jak typ akcji, lokalizacja geograficzna, urządzenie, zasób, usługodawca internetowym i inne.

Aby wykryć anomalie UEBA, należy włączyć funkcję UEBA .

Nietypowe usuwanie dostępu do konta

Description: An attacker may interrupt the availability of system and network resources by blocking access to accounts used by legitimate users. Osoba atakująca może usunąć, zablokować lub manipulować kontem (na przykład zmieniając jego poświadczenia), aby usunąć dostęp do niego.

Attribute Value
Anomaly type: UEBA
Data sources: Dzienniki aktywności platformy Azure
TAKTYKA MITRE ATT&CK: Impact
TECHNIKI MITRE ATT&CK: T1531 — usuwanie dostępu do konta
Activity: Microsoft.Authorization/roleAssignments/delete
Log Out

Powrót do listy | Powrót do góry

Nietypowe tworzenie konta

Description: Adversaries may create an account to maintain access to targeted systems. Mając wystarczający poziom dostępu, tworzenie takich kont może służyć do ustanawiania dodatkowego dostępu poświadczeń bez konieczności wdrażania trwałych narzędzi dostępu zdalnego w systemie.

Attribute Value
Anomaly type: UEBA
Data sources: Dzienniki inspekcji usługi Microsoft Entra
TAKTYKA MITRE ATT&CK: Persistence
TECHNIKI MITRE ATT&CK: T1136 — Tworzenie konta
Techniki podrzędne MITRE ATT&CK: Cloud Account
Activity: Katalog podstawowy/userManagement/Dodawanie użytkownika

Powrót do listy | Powrót do góry

Nietypowe usuwanie konta

Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Konta mogą zostać usunięte, zablokowane lub manipulowane (np. zmienione poświadczenia), aby usunąć dostęp do kont.

Attribute Value
Anomaly type: UEBA
Data sources: Dzienniki inspekcji usługi Microsoft Entra
TAKTYKA MITRE ATT&CK: Impact
TECHNIKI MITRE ATT&CK: T1531 — usuwanie dostępu do konta
Activity: Katalog podstawowy/użytkownikZarządzanie/Usuwanie użytkownika
Katalog podstawowy/urządzenie/usuwanie użytkownika
Katalog podstawowy/użytkownikZarządzanie/Usuwanie użytkownika

Powrót do listy | Powrót do góry

Nietypowe manipulowanie kontem

Description: Adversaries may manipulate accounts to maintain access to target systems. Te akcje obejmują dodawanie nowych kont do grup z wysokimi uprawnieniami. Dragonfly 2.0, na przykład, dodano nowo utworzone konta do grupy administratorów, aby zachować podwyższony poziom dostępu. Poniższe zapytanie generuje dane wyjściowe wszystkich użytkowników usługi Radius o wysokiej wydajności wykonujących funkcję "Aktualizuj użytkownika" (zmianę nazwy) na rolę uprzywilejowaną lub tych, którzy zmienili użytkowników po raz pierwszy.

Attribute Value
Anomaly type: UEBA
Data sources: Dzienniki inspekcji usługi Microsoft Entra
TAKTYKA MITRE ATT&CK: Persistence
TECHNIKI MITRE ATT&CK: T1098 — manipulowanie kontem
Activity: Katalog podstawowy/użytkownikZarządzanie/Aktualizowanie użytkownika

Powrót do listy | Powrót do góry

Nietypowe wykonywanie kodu (UEBA)

Description: Adversaries may abuse command and script interpreters to execute commands, scripts, or binaries. Te interfejsy i języki zapewniają sposoby interakcji z systemami komputerowymi i są wspólną funkcją na wielu różnych platformach.

Attribute Value
Anomaly type: UEBA
Data sources: Dzienniki aktywności platformy Azure
TAKTYKA MITRE ATT&CK: Execution
TECHNIKI MITRE ATT&CK: T1059 — interpreter poleceń i skryptów
Techniki podrzędne MITRE ATT&CK: PowerShell
Activity: Microsoft.Compute/virtualMachines/runCommand/action

Powrót do listy | Powrót do góry

Nietypowe niszczenie danych

Description: Adversaries may destroy data and files on specific systems or in large numbers on a network to interrupt availability to systems, services, and network resources. Niszczenie danych może renderować przechowywane dane w sposób nieodzyskiwalny przez techniki kryminalistyczne poprzez zastępowanie plików lub danych na lokalnych i zdalnych dyskach.

Attribute Value
Anomaly type: UEBA
Data sources: Dzienniki aktywności platformy Azure
TAKTYKA MITRE ATT&CK: Impact
TECHNIKI MITRE ATT&CK: T1485 — niszczenie danych
Activity: Microsoft.Compute/disks/delete
Microsoft.Compute/galleries/images/delete
Microsoft.Compute/hostGroups/delete
Microsoft.Compute/hostGroups/hosts/delete
Microsoft.Compute/images/delete
Microsoft.Compute/virtualMachines/delete
Microsoft.Compute/virtualMachineScaleSets/delete
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete
Microsoft.Devices/digitalTwins/Delete
Microsoft.Devices/iotHubs/Delete
Microsoft.KeyVault/vaults/delete
Microsoft.Logic/integrationAccounts/delete
Microsoft.Logic/integrationAccounts/maps/delete
Microsoft.Logic/integrationAccounts/schemas/delete
Microsoft.Logic/integrationAccounts/partners/delete
Microsoft.Logic/integrationServiceEnvironments/delete
Microsoft.Logic/workflows/delete
Microsoft.Resources/subscriptions/resourceGroups/delete
Microsoft.Sql/instancePools/delete
Microsoft.Sql/managedInstances/delete
Microsoft.Sql/managedInstances/administrators/delete
Microsoft.Sql/managedInstances/databases/delete
Microsoft.Storage/storageAccounts/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete
Microsoft.Storage/storageAccounts/blobServices/containers/delete
Microsoft.AAD/domainServices/delete

Powrót do listy | Powrót do góry

Nietypowa modyfikacja mechanizmu obronnego

Description: Adversaries may disable security tools to avoid possible detection of their tools and activities.

Attribute Value
Anomaly type: UEBA
Data sources: Dzienniki aktywności platformy Azure
TAKTYKA MITRE ATT&CK: Defense Evasion
TECHNIKI MITRE ATT&CK: T1562 - Upośledzenie obrony
Techniki podrzędne MITRE ATT&CK: Wyłączanie lub modyfikowanie narzędzi
Wyłączanie lub modyfikowanie zapory w chmurze
Activity: Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete
Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete
Microsoft.Network/networkSecurityGroups/securityRules/delete
Microsoft.Network/networkSecurityGroups/delete
Microsoft.Network/ddosProtectionPlans/delete
Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete
Microsoft.Network/applicationSecurityGroups/delete
Microsoft.Authorization/policyAssignments/delete
Microsoft.Sql/servers/firewallRules/delete
Microsoft.Network/firewallPolicies/delete
Microsoft.Network/azurefirewalls/delete

Powrót do listy | Powrót do góry

Nietypowe logowanie nie powiodło się

Description: Adversaries with no prior knowledge of legitimate credentials within the system or environment may guess passwords to attempt access to accounts.

Attribute Value
Anomaly type: UEBA
Data sources: Dzienniki logowania w usłudze Microsoft Entra
dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Credential Access
TECHNIKI MITRE ATT&CK: T1110 — Siły brutalne
Activity: Microsoft Entra ID: Działanie logowania
Windows Security: Failed login (Event ID 4625)

Powrót do listy | Powrót do góry

Nietypowe resetowanie hasła

Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Konta mogą zostać usunięte, zablokowane lub manipulowane (np. zmienione poświadczenia), aby usunąć dostęp do kont.

Attribute Value
Anomaly type: UEBA
Data sources: Dzienniki inspekcji usługi Microsoft Entra
TAKTYKA MITRE ATT&CK: Impact
TECHNIKI MITRE ATT&CK: T1531 — usuwanie dostępu do konta
Activity: Katalog podstawowy/UserManagement/Resetowanie hasła użytkownika

Powrót do listy | Powrót do góry

Nietypowe uprawnienia przyznane

Description: Adversaries may add adversary-controlled credentials for Azure Service Principals in addition to existing legitimate credentials to maintain persistent access to victim Azure accounts.

Attribute Value
Anomaly type: UEBA
Data sources: Dzienniki inspekcji usługi Microsoft Entra
TAKTYKA MITRE ATT&CK: Persistence
TECHNIKI MITRE ATT&CK: T1098 — manipulowanie kontem
Techniki podrzędne MITRE ATT&CK: Dodatkowe poświadczenia jednostki usługi platformy Azure
Activity: Aprowizowanie konta/zarządzanie aplikacjami/Dodawanie przypisania roli aplikacji do jednostki usługi

Powrót do listy | Powrót do góry

Anomalous Sign-in

Description: Adversaries may steal the credentials of a specific user or service account using Credential Access techniques or capture credentials earlier in their reconnaissance process through social engineering for means of gaining Persistence.

Attribute Value
Anomaly type: UEBA
Data sources: Dzienniki logowania w usłudze Microsoft Entra
dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Persistence
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta
Activity: Microsoft Entra ID: Działanie logowania
Windows Security: Successful login (Event ID 4624)

Powrót do listy | Powrót do góry

Anomalie oparte na uczeniu maszynowym

Dostosowywalne anomalie oparte na uczeniu maszynowym w usłudze Microsoft Sentinel mogą identyfikować nietypowe zachowanie za pomocą szablonów reguł analitycznych, które można umieścić w odpowiednim czasie. Chociaż anomalie niekoniecznie wskazują złośliwe lub nawet podejrzane zachowanie, mogą służyć do ulepszania wykrywania, badania i wyszukiwania zagrożeń.

Nietypowe operacje platformy Azure

Description: This detection algorithm collects 21 days' worth of data on Azure operations grouped by user to train this ML model. Następnie algorytm generuje anomalie w przypadku użytkowników, którzy wykonali sekwencje operacji rzadko w swoich obszarach roboczych. Wytrenowany model uczenia maszynowego ocenia operacje wykonywane przez użytkownika i uwzględnia nietypowe, których wynik jest większy niż zdefiniowany próg.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: Dzienniki aktywności platformy Azure
TAKTYKA MITRE ATT&CK: Initial Access
TECHNIKI MITRE ATT&CK: T1190 — Wykorzystanie aplikacji dostępnej publicznie

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Nietypowe wykonywanie kodu

Description: Attackers may abuse command and script interpreters to execute commands, scripts, or binaries. Te interfejsy i języki zapewniają sposoby interakcji z systemami komputerowymi i są wspólną funkcją na wielu różnych platformach.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: Dzienniki aktywności platformy Azure
TAKTYKA MITRE ATT&CK: Execution
TECHNIKI MITRE ATT&CK: T1059 — interpreter poleceń i skryptów

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Nietypowe tworzenie konta lokalnego

Description: This algorithm detects anomalous local account creation on Windows systems. Osoby atakujące mogą tworzyć konta lokalne, aby zachować dostęp do systemów docelowych. Ten algorytm analizuje działania tworzenia konta lokalnego w ciągu ostatnich 14 dni od użytkowników. Szuka podobnych działań w bieżącym dniu od użytkowników, którzy nie byli wcześniej widziani w działaniu historycznym. Możesz określić listę dozwolonych, aby filtrować znanych użytkowników z wyzwalania tej anomalii.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Persistence
TECHNIKI MITRE ATT&CK: T1136 — Tworzenie konta

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Nietypowe działania użytkownika w programie Office Exchange

Description: This machine learning model groups the Office Exchange logs on a per-user basis into hourly buckets. Definiujemy jedną godzinę jako sesję. Model jest trenowany w ciągu ostatnich 7 dni od wszystkich zwykłych (niebędących administratorami) użytkowników. Wskazuje on nietypowe sesje programu Office Exchange użytkownika w ciągu ostatniego dnia.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: Dziennik aktywności pakietu Office (Exchange)
TAKTYKA MITRE ATT&CK: Persistence
Collection
TECHNIKI MITRE ATT&CK: Collection:
T1114 — Kolekcja wiadomości e-mail
T1213 — dane z repozytoriów informacji

Persistence:
T1098 — manipulowanie kontem
T1136 — Tworzenie konta
T1137 — Uruchamianie aplikacji pakietu Office
T1505 — składnik oprogramowania serwera

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podjęto próbę ataku siłowego komputera

Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per computer over the past day. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Credential Access
TECHNIKI MITRE ATT&CK: T1110 — Siły brutalne

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podjęto próbę ataku siłowego konta użytkownika

Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account over the past day. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Credential Access
TECHNIKI MITRE ATT&CK: T1110 — Siły brutalne

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podjęto próbę ataku siłowego konta użytkownika na typ logowania

Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per logon type over the past day. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Credential Access
TECHNIKI MITRE ATT&CK: T1110 — Siły brutalne

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podjęto próbę ataku siłowego konta użytkownika na przyczynę niepowodzenia

Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per failure reason over the past day. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Credential Access
TECHNIKI MITRE ATT&CK: T1110 — Siły brutalne

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Wykrywanie zachowania sygnału nawigacyjnego wygenerowanego przez maszynę

Description: This algorithm identifies beaconing patterns from network traffic connection logs based on recurrent time delta patterns. Każde połączenie sieciowe w niezaufanych sieciach publicznych w powtarzającym się czasie różnice wskazuje na wywołania zwrotne złośliwego oprogramowania lub próby eksfiltracji danych. Algorytm obliczy różnicę czasu między kolejnymi połączeniami sieciowymi między tym samym źródłowym adresem IP i docelowym adresem IP, a także liczbą połączeń w sekwencji różnic czasowej między tymi samymi źródłami i miejscami docelowymi. Wartość procentowa sygnału nawigacyjnego jest obliczana jako połączenia w sekwencji różnic czasu względem łącznej liczby połączeń w ciągu dnia.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: CommonSecurityLog (PAN)
TAKTYKA MITRE ATT&CK: Sterowanie i kontrola
TECHNIKI MITRE ATT&CK: T1071 — Protokół warstwy aplikacji
T1132 — kodowanie danych
T1001 — zaciemnianie danych
T1568 — rozdzielczość dynamiczna
T1573 — szyfrowany kanał
T1008 — kanały rezerwowe
T1104 — kanały wieloetapowe
T1095 — protokół warstwy aplikacji nienależące do aplikacji
T1571 — port inny niż standardowy
T1572 — tunelowanie protokołu
T1090 — serwer proxy
T1205 — Sygnalizacja ruchu
T1102 — usługa sieci Web

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Algorytm generowania domeny (DGA) w domenach DNS

Description: This machine learning model indicates potential DGA domains from the past day in the DNS logs. Algorytm dotyczy rekordów DNS rozpoznawanych jako adresy IPv4 i IPv6.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: DNS Events
TAKTYKA MITRE ATT&CK: Sterowanie i kontrola
TECHNIKI MITRE ATT&CK: T1568 — rozdzielczość dynamiczna

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Nadmierne pobieranie za pośrednictwem aplikacji Palo Alto GlobalProtect

Description: This algorithm detects unusually high volume of download per user account through the Palo Alto VPN solution. Model jest trenowany w ciągu ostatnich 14 dni dzienników sieci VPN. Wskazuje to nietypowe duże ilości pobrań w ciągu ostatniego dnia.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: CommonSecurityLog (PAN VPN)
TAKTYKA MITRE ATT&CK: Exfiltration
TECHNIKI MITRE ATT&CK: T1030 — limity rozmiaru transferu danych
T1041 — Eksfiltracja przez kanał C2
T1011 — eksfiltracja za pośrednictwem innego medium sieciowego
T1567 — eksfiltracja za pośrednictwem usługi internetowej
T1029 — Zaplanowany transfer
T1537 — transfer danych na konto w chmurze

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Nadmierne przekazywanie za pośrednictwem aplikacji Palo Alto GlobalProtect

Description: This algorithm detects unusually high volume of upload per user account through the Palo Alto VPN solution. Model jest trenowany w ciągu ostatnich 14 dni dzienników sieci VPN. Wskazuje on nietypowy duży wolumen przekazywania w ciągu ostatniego dnia.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: CommonSecurityLog (PAN VPN)
TAKTYKA MITRE ATT&CK: Exfiltration
TECHNIKI MITRE ATT&CK: T1030 — limity rozmiaru transferu danych
T1041 — Eksfiltracja przez kanał C2
T1011 — eksfiltracja za pośrednictwem innego medium sieciowego
T1567 — eksfiltracja za pośrednictwem usługi internetowej
T1029 — Zaplanowany transfer
T1537 — transfer danych na konto w chmurze

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Potencjalny algorytm generowania domeny (DGA) w domenach DNS na następnym poziomie

Description: This machine learning model indicates the next-level domains (third-level and up) of the domain names from the last day of DNS logs that are unusual. Potencjalnie mogą to być dane wyjściowe algorytmu generowania domeny (DGA). Anomalia dotyczy rekordów DNS rozpoznawanych jako adresy IPv4 i IPv6.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: DNS Events
TAKTYKA MITRE ATT&CK: Sterowanie i kontrola
TECHNIKI MITRE ATT&CK: T1568 — rozdzielczość dynamiczna

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podejrzana liczba wywołań interfejsu API platformy AWS ze źródłowego adresu IP innego niż AWS

Description: This algorithm detects an unusually high volume of AWS API calls per user account per workspace, from source IP addresses outside of AWS's source IP ranges, within the last day. Model jest trenowany w ciągu ostatnich 21 dni zdarzeń dziennika platformy AWS CloudTrail według źródłowego adresu IP. To działanie może wskazywać, że konto użytkownika zostało naruszone.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: Dzienniki usługi CLOUDTrail platformy AWS
TAKTYKA MITRE ATT&CK: Initial Access
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podejrzana liczba wywołań interfejsu API zapisu platformy AWS z konta użytkownika

Description: This algorithm detects an unusually high volume of AWS write API calls per user account within the last day. Model jest trenowany w ciągu ostatnich 21 dni zdarzeń dziennika usługi AWS CloudTrail według konta użytkownika. To działanie może wskazywać, że konto zostało naruszone.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: Dzienniki usługi CLOUDTrail platformy AWS
TAKTYKA MITRE ATT&CK: Initial Access
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podejrzana liczba logowań na komputerze

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per computer over the past day. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Initial Access
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podejrzana liczba logowań na komputerze z podwyższonym poziomem uprawnień

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per computer, over the last day. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Initial Access
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podejrzana liczba logowań do konta użytkownika

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account over the past day. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Initial Access
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podejrzana liczba logowań do konta użytkownika według typów logowania

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account, by different logon types, over the past day. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Initial Access
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podejrzana liczba logowań do konta użytkownika z podwyższonym poziomem uprawnień

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per user account, over the last day. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.

Attribute Value
Anomaly type: Możliwość dostosowywania uczenia maszynowego
Data sources: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Initial Access
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Next steps