Anomalias detectadas pelo mecanismo de machine learning do Microsoft Sentinel
Este artigo lista as anomalias detectadas pelo Microsoft Sentinel usando diferentes modelos de machine learning.
A detecção de anomalias funciona pela análise do comportamento dos usuários em um ambiente durante um período e pela construção de uma linha de base de atividades legítimas. Depois que a linha de base é estabelecida, qualquer atividade fora dos parâmetros normais é considerada anormal e, portanto, suspeita.
O Microsoft Sentinel usa dois modelos diferentes para criar linhas de base e detectar anomalias.
Observação
As seguintes detecções de anomalias foram descontinuadas a partir de 26 de março de 2024, devido à baixa qualidade dos resultados:
- Anomalia do Palo Alto de reputação de domínio
- Logons de várias regiões em um só dia por meio do Palo Alto GlobalProtect
Importante
O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, veja Microsoft Sentinel no portal Microsoft Defender.
Anomalias da UEBA
A UEBA do Sentinel detecta as anomalias com base em linhas de base dinâmicas criadas para cada entidade em várias entradas de dados. O comportamento de linha de base de cada entidade é definido de acordo com as atividades históricas delas, com aquelas dos respectivos pares e com aquelas da organização como um todo. As anomalias podem ser disparadas pela correlação de diferentes atributos, como tipo de ação, localização geográfica, dispositivo, recurso, ISP, entre outros.
Você deve habilitar o recurso UEBA para que anomalias UEBA sejam detectadas.
- Remoção anormal de acesso à conta
- Criação anormal de contas
- Exclusão anormal de contas
- Manipulação anormal de contas
- Execução anormal de código (UEBA)
- Destruição anormal de dados
- Modificação anormal do mecanismo de defesa
- Entrada com falha anormal
- Redefinição anormal de senha
- Privilégio anormal concedido
- Entrada anormal
Remoção anormal de acesso à conta
Descrição: um invasor pode interromper a disponibilidade de recursos do sistema e de rede bloqueando o acesso às contas usadas por usuários legítimos. O invasor pode excluir, bloquear ou manipular uma conta (por exemplo, alterando as credenciais) para remover o acesso a ela.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de Atividades do Azure |
| Táticas MITRE ATT&CK: | Impacto |
| Técnicas MITRE ATT&CK: | T1531 – Remoção de acesso à conta |
| Atividade: | Microsoft.Authorization/roleAssignments/delete Logoff |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Criação anormal de contas
Descrição: os adversários podem criar uma conta para manter o acesso aos sistemas escolhidos como alvo. Com um nível suficiente de acesso, a criação dessas contas pode ser usada para estabelecer acesso com credencial secundário sem exigir que ferramentas de acesso remoto persistentes sejam implantadas no sistema.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Persistência |
| Técnicas MITRE ATT&CK: | T1136 – Criação de contas |
| Subtécnicas MITRE ATT&CK: | Conta de nuvem |
| Atividade: | Diretório Principal/UserManagement/Adicionar usuário |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Exclusão anormal de contas
Descrição: os adversários podem interromper a disponibilidade de recursos do sistema e de rede inibindo o acesso às contas utilizadas por usuários legítimos. As contas podem ser excluídas, bloqueadas ou manipuladas (por exemplo, credenciais alteradas) para remover o acesso às contas.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Impacto |
| Técnicas MITRE ATT&CK: | T1531 – Remoção de acesso à conta |
| Atividade: | Diretório Principal/UserManagement/Excluir usuário Diretório Principal/Dispositivo/Excluir usuário Diretório Principal/UserManagement/Excluir usuário |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Manipulação anormal de contas
Descrição: os adversários podem manipular contas para manter o acesso aos sistemas de destino. Essas ações incluem a adição de novas contas a grupos com privilégios elevados. O Dragonfly 2.0, por exemplo, adicionou contas recém-criadas ao grupo de administradores para manter o acesso elevado. A consulta abaixo gera uma saída de todos os usuários do Raio de Alta Explosão executando "Atualizar usuário" (alteração de nome) para uma função com privilégios ou aquelas que alteraram os usuários pela primeira vez.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Persistência |
| Técnicas MITRE ATT&CK: | T1098 – Manipulação de contas |
| Atividade: | Diretório Principal/UserManagement/Atualizar usuário |
Voltar à lista | de anomalias da UEBA Voltar ao topo
UEBA (execução anormal de código)
Descrição: os adversários podem usar indevidamente interpretadores de comando e de script para executar comandos, scripts ou binários. Essas interfaces e linguagens fornecem maneiras de interagir com sistemas de computador e são um recurso comum em várias plataformas diferentes.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de Atividades do Azure |
| Táticas MITRE ATT&CK: | Execução |
| Técnicas MITRE ATT&CK: | T1059 – Interpretador de comando e de script |
| Subtécnicas MITRE ATT&CK: | PowerShell |
| Atividade: | Microsoft.Compute/virtualMachines/runCommand/action |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Destruição anormal de dados
Descrição: os adversários podem destruir dados e arquivos em sistemas específicos ou em grande número em uma rede para interromper a disponibilidade de sistemas, serviços e recursos de rede. Provavelmente, a destruição de dados tornará os dados armazenados irrecuperáveis por técnicas forenses por meio da substituição de arquivos ou dados em unidades locais e remotas.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de Atividades do Azure |
| Táticas MITRE ATT&CK: | Impacto |
| Técnicas MITRE ATT&CK: | T1485 – Destruição de dados |
| Atividade: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Modificação anormal do mecanismo de defesa
Descrição: os adversários podem desabilitar ferramentas de segurança para evitar a possível detecção das respectivas ferramentas e atividades.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de Atividades do Azure |
| Táticas MITRE ATT&CK: | Evasão de defesa |
| Técnicas MITRE ATT&CK: | T1562 – Prejudicar as defesas |
| Subtécnicas MITRE ATT&CK: | Desabilitar ou modificar ferramentas Desabilitar ou modificar o firewall de nuvem |
| Atividade: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Entrada com falha anormal
Descrição: os adversários sem conhecimento prévio das credenciais legítimas do sistema ou do ambiente podem adivinhar senhas para tentar acessar contas.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de entrada do Microsoft Entra Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso com credencial |
| Técnicas MITRE ATT&CK: | T1110 – Força bruta |
| Atividade: | ID do Microsoft Entra: atividade de entrada Segurança do Windows: logon com falha (ID do evento 4625) |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Redefinição anormal de senha
Descrição: os adversários podem interromper a disponibilidade de recursos do sistema e de rede inibindo o acesso às contas utilizadas por usuários legítimos. As contas podem ser excluídas, bloqueadas ou manipuladas (por exemplo, credenciais alteradas) para remover o acesso às contas.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Impacto |
| Técnicas MITRE ATT&CK: | T1531 – Remoção de acesso à conta |
| Atividade: | Diretório Principal/UserManagement/Redefinição de senha do usuário |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Privilégio anormal concedido
Descrição: os adversários podem adicionar credenciais controladas por adversários para entidades de serviço do Azure, além de credenciais legítimas existentes para manter o acesso persistente às contas de vítimas do Azure.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Persistência |
| Técnicas MITRE ATT&CK: | T1098 – Manipulação de contas |
| Subtécnicas MITRE ATT&CK: | Adicionar credenciais de entidade de serviço do Azure |
| Atividade: | Provisionamento de conta/gerenciamento de aplicativos/adicionar atribuição de função do aplicativo à entidade de serviço |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Entrada anormal
Descrição: os adversários podem roubar as credenciais de uma conta específica de serviço ou de usuário usando técnicas de acesso de credenciais ou capturar as credenciais em uma etapa anterior do processo de reconhecimento por meio da engenharia social, a fim de obter persistência.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de entrada do Microsoft Entra Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Persistência |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
| Atividade: | ID do Microsoft Entra: atividade de entrada Segurança do Windows: logon bem-sucedido (ID do evento 4624) |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Anomalias baseadas em machine learning
As anomalias personalizáveis baseadas no machine learning do Microsoft Sentinel podem identificar o comportamento anormal com modelos de regra de análise que podem ser colocados para funcionar imediatamente. Embora as anomalias não indiquem necessariamente um comportamento mal-intencionado ou mesmo suspeito por si só, elas podem ser usadas para aprimorar as detecções, as investigações e a busca por ameaças.
- Sessões de entrada anômalas do Microsoft Entra
- Operações anormais do Azure
- Execução anormal de código
- Criação anormal de conta local
- Atividade de verificação anormal
- Atividades anormais de usuário no Office Exchange
- Atividades anormais de usuário/aplicativo nos logs de auditoria do Azure
- Atividade anormal de logs do W3CIIS
- Atividade anormal de solicitação da Web
- Tentativa de força bruta do computador
- Tentativa de força bruta da conta de usuário
- Tentativa de força bruta da conta de usuário por tipo de logon
- Tentativa de força bruta da conta de usuário por motivo de falha
- Detectar o comportamento de sinalizadores de rede gerados pelo computador
- DGA (Algoritmo de geração de domínio) em domínios DNS
- Anomalia de Reputação de Domínio Palo Alto (DESCONTINUADA)
- Anomalia de transferência excessiva de dados
- Downloads excessivos por meio do Palo Alto GlobalProtect
- Uploads excessivos por meio do Palo Alto GlobalProtect
- Logon de uma região incomum por meio de logons de conta do Palo Alto GlobalProtect
- Logins em várias regiões em um único dia via Palo Alto GlobalProtect (DESCONTINUADO)
- Preparo potencial de dados
- DGA (Algoritmo de geração de domínio) potencial em domínios DNS de próximo nível
- Alteração de geografia suspeita em logons de conta do Palo Alto GlobalProtect
- Número suspeito de documentos protegidos acessados
- Volume suspeito de chamadas à API da AWS de um endereço IP de origem não proveniente da AWS
- Volume suspeito de eventos de log do AWS CloudTrail da conta de usuário do grupo por EventTypeName
- Volume suspeito de chamadas à API de gravação da AWS em uma conta de usuário
- Volume suspeito de tentativas de logon com falha no Console da AWS por conta de usuário do grupo
- Volume suspeito de tentativas de logon com falha no Console da AWS por endereço IP de origem
- Volume suspeito de logons no computador
- Volume suspeito de logons no computador com token elevado
- Volume suspeito de logons na conta de usuário
- Volume suspeito de logons na conta de usuário por tipos de logon
- Volume suspeito de logons na conta de usuário com token elevado
- Alarme de firewall externo incomum detectado
- Rótulo de AIP de downgrade em massa incomum
- Comunicação de rede incomum em portas comumente usadas
- Anomalia incomum no volume de rede
- Tráfego da Web incomum detectado com o IP no caminho da URL
Sessões de entrada anômalas do Microsoft Entra
Descrição: o modelo de machine learning agrupa os logs de entrada do Microsoft Entra por usuário. O modelo é treinado nos últimos seis dias de comportamento de entrada do usuário. Indica as sessões anormais de entrada do usuário no último dia.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de entrada do Microsoft Entra |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas T1566 – Phishing T1133 – Serviços remotos externos |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Operações anormais do Azure
Descrição: esse algoritmo de detecção coleta 21 dias de dados em operações do Azure agrupadas por usuário para treinar esse modelo de ML. Em seguida, o algoritmo gera anomalias no caso de usuários que executaram sequências de operações incomuns nos respectivos workspaces. O modelo de ML treinado pontua as operações executadas pelo usuário e considera anormais aquelas cuja pontuação é maior que o limite definido.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Atividades do Azure |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1190 – Exploração do aplicativo voltado para o público |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Execução anormal de código
Descrição: os invasores podem usar indevidamente interpretadores de comando e de script para executar comandos, scripts ou binários. Essas interfaces e linguagens fornecem maneiras de interagir com sistemas de computador e são um recurso comum em várias plataformas diferentes.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Atividades do Azure |
| Táticas MITRE ATT&CK: | Execução |
| Técnicas MITRE ATT&CK: | T1059 – Interpretador de comando e de script |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Criação anormal de conta local
Descrição: esse algoritmo detecta a criação anormal de conta local em sistemas Windows. Os invasores podem criar contas locais para manter o acesso aos sistemas escolhidos como alvo. Esse algoritmo analisa a atividade de criação de conta local nos últimos 14 dias pelos usuários. Ele procura atividades semelhantes no dia atual de usuários que não foram vistos anteriormente na atividade histórica. Você pode especificar uma lista de permitidos para excluir os usuários conhecidos do disparo dessa anomalia.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Persistência |
| Técnicas MITRE ATT&CK: | T1136 – Criação de contas |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Atividade de verificação anormal
Descrição: esse algoritmo procura atividades de verificação de porta, proveniente de um IP de origem individual para um ou mais IPs de destino, que normalmente não é visto em determinado ambiente.
O algoritmo leva em conta se o IP é público/externo ou privado/interno, e o evento é marcado de acordo. Somente a atividade privada para pública ou pública para privada é considerada no momento. A atividade de verificação pode indicar um invasor tentando determinar os serviços disponíveis em um ambiente que podem ser potencialmente explorados e usados para entrada ou movimento lateral. Um alto número de portas de origem e um alto número de portas de destino de um só IP de origem para um só IP ou vários IPs de destino podem ser interessantes e indicam uma verificação anormal. Além disso, se houver uma alta taxa de IPs de destino para o único IP de origem, isso poderá indicar uma verificação anormal.
Detalhes da configuração:
- O padrão de execução de trabalho é diário, com compartimentos por hora.
O algoritmo usa os padrões configuráveis a seguir para limitar os resultados com base em compartimentos por hora. - Ações de dispositivo incluídas – Aceitar, permitir e iniciar
- Portas excluídas – 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
- Contagem de portas de destino distintas >= 600
- Contagem de portas de origem distintas >= 600
- Contagem de portas de origem distintas divididas por porta de destino distinta, taxa convertida em percentual >= 99,99
- IP de origem (sempre 1) dividido por IP de destino, taxa convertida em percentual >= 99,99
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Táticas MITRE ATT&CK: | Descoberta |
| Técnicas MITRE ATT&CK: | T1046 – Verificação do serviço de rede |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Atividades anormais de usuário no Office Exchange
Descrição: esse modelo de machine learning agrupa os logs do Office Exchange por usuário em buckets por hora. Definimos uma hora como uma sessão. O modelo é treinado nos últimos sete dias de comportamento de todos os usuários comuns (não administradores). Indica as sessões de usuário anormais do Office Exchange no último dia.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Log de atividades do Office (Exchange) |
| Táticas MITRE ATT&CK: | Persistência Cobrança |
| Técnicas MITRE ATT&CK: | Coleção: T1114 – Coleção de email T1213 – Dados dos repositórios de informações Persistência: T1098 – Manipulação de contas T1136 – Criação de contas T1137 – Inicialização de aplicativo Office T1505 – Componente do software para servidores |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Atividades anormais de usuário/aplicativo nos logs de auditoria do Azure
Descrição: esse algoritmo identifica as sessões anormais de usuário/aplicativo do Azure nos logs de auditoria do último dia, com base no comportamento dos últimos 21 dias de todos os usuários e aplicativos. O algoritmo verifica se há volume suficiente de dados antes de treinar o modelo.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Cobrança Descoberta Acesso inicial Persistência Escalonamento de Privilégios |
| Técnicas MITRE ATT&CK: | Coleção: T1530 – Dados do objeto de armazenamento em nuvem Descoberta: T1087 – Descoberta de conta T1538 – Painel do serviço de nuvem T1526 – Descoberta do serviço de nuvem T1069 – Descoberta dos grupos de permissões T1518 – Descoberta de software Acesso inicial: T1190 – Exploração do aplicativo voltado para o público T1078 – Contas válidas Persistência: T1098 – Manipulação de contas T1136 – Criação de contas T1078 – Contas válidas Elevação de privilégio: T1484 – Modificação da política de domínio T1078 – Contas válidas |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Atividade anormal de logs do W3CIIS
Descrição: esse algoritmo de machine learning indica as sessões anormais do IIS no último dia. Ele vai capturar, por exemplo, um número extraordinariamente alto de consultas de URI distintas, agentes de usuário ou logs em uma sessão ou de verbos HTTP específicos ou status HTTP em uma sessão. O algoritmo identifica eventos incomuns do W3CIISLog em uma sessão por hora, agrupados pelo nome do site e pelo IP do cliente. O modelo é treinado nos últimos sete dias de atividade do IIS. O algoritmo verifica se há volume suficiente de atividades do IIS antes de treinar o modelo.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs do W3CIIS |
| Táticas MITRE ATT&CK: | Acesso inicial Persistência |
| Técnicas MITRE ATT&CK: | Acesso inicial: T1190 – Exploração do aplicativo voltado para o público Persistência: T1505 – Componente do software para servidores |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Atividade anormal de solicitação da Web
Descrição: esse algoritmo agrupa eventos do W3CIISLog em sessões por hora agrupadas por nome do site e por tronco URI. O modelo de machine learning identifica as sessões com um número extraordinariamente alto de solicitações que dispararam códigos de resposta de classe 5xx no último dia. Os códigos de classe 5xx são uma indicação de que alguma instabilidade do aplicativo ou uma condição de erro foi disparada pela solicitação. Eles podem ser uma indicação de que um invasor está sondando o tronco URI em busca de problemas de vulnerabilidades e configuração, executando algumas atividades de exploração, como injeção de SQL ou aproveitando uma vulnerabilidade não corrigida. Esse algoritmo usa seis dias de dados para treinamento.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs do W3CIIS |
| Táticas MITRE ATT&CK: | Acesso inicial Persistência |
| Técnicas MITRE ATT&CK: | Acesso inicial: T1190 – Exploração do aplicativo voltado para o público Persistência: T1505 – Componente do software para servidores |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Tentativa de força bruta do computador
Descrição: esse algoritmo detecta um volume extraordinariamente alto de tentativas de logon com falha (ID do evento de segurança 4625) por computador no último dia. O modelo é treinado nos últimos 21 dias de logs de eventos de segurança do Windows.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso com credencial |
| Técnicas MITRE ATT&CK: | T1110 – Força bruta |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Tentativa de força bruta da conta de usuário
Descrição: esse algoritmo detecta um volume extraordinariamente alto de tentativas de logon com falha (ID de evento de segurança 4625) por conta de usuário no último dia. O modelo é treinado nos últimos 21 dias de logs de eventos de segurança do Windows.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso com credencial |
| Técnicas MITRE ATT&CK: | T1110 – Força bruta |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Tentativa de força bruta da conta de usuário por tipo de logon
Descrição: esse algoritmo detecta um volume extraordinariamente alto de tentativas de logon com falha (ID de evento de segurança 4625) por conta de usuário por tipo de logon no último dia. O modelo é treinado nos últimos 21 dias de logs de eventos de segurança do Windows.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso com credencial |
| Técnicas MITRE ATT&CK: | T1110 – Força bruta |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Tentativa de força bruta da conta de usuário por motivo de falha
Descrição: esse algoritmo detecta um volume extraordinariamente alto de tentativas de logon com falha (ID de evento de segurança 4625) por conta de usuário e por motivo de falha no último dia. O modelo é treinado nos últimos 21 dias de logs de eventos de segurança do Windows.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso com credencial |
| Técnicas MITRE ATT&CK: | T1110 – Força bruta |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Detectar o comportamento de sinalizadores de rede gerados pelo computador
Descrição: esse algoritmo identifica padrões de sinalizadores de logs de conexão de tráfego de rede com base em padrões delta de tempo recorrentes. Qualquer conexão de rede com redes públicas não confiáveis em deltas de tempo repetitivos é uma indicação de retornos de chamada de malware ou tentativas de exfiltração dos dados. O algoritmo calculará o delta de tempo entre conexões de rede consecutivas entre o mesmo IP de origem e o IP de destino, bem como o número de conexões em uma sequência de delta de tempo entre as mesmas fontes e destinos. O percentual de sinalizadores é calculado como as conexões na sequência de delta de tempo em relação ao total de conexões em um dia.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | CommonSecurityLog (PAN) |
| Táticas MITRE ATT&CK: | Comando e controle |
| Técnicas MITRE ATT&CK: | T1071 – Protocolo de camada aplicável T1132 – Codificação de dados T1001 – Ofuscação de dados T1568 – Resolução dinâmica T1573 – Canal criptografado T1008 – Canais de fallback T1104 – Canais de várias fases T1095 – Protocolo de camada não aplicável T1571 – Porta não padrão T1572 – Túnel do protocolo T1090 – Proxy T1205 – Sinalização de tráfego T1102 – Serviço Web |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
DGA (Algoritmo de geração de domínio) em domínios DNS
Descrição: esse modelo de machine learning indica os domínios DGA potenciais do último dia nos logs do DNS. O algoritmo se aplica aos registros DNS que são resolvidos para endereços IPv4 e IPv6.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Eventos de DNS |
| Táticas MITRE ATT&CK: | Comando e controle |
| Técnicas MITRE ATT&CK: | T1568 – Resolução dinâmica |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Anomalia de Reputação de Domínio Palo Alto (DESCONTINUADA)
Descrição: esse algoritmo avalia a reputação de todos os domínios vistos especificamente nos logs de firewall do Palo Alto (produto PAN-OS). Uma pontuação alta de anomalias indica uma baixa reputação, sugerindo que o domínio foi observado por hospedar conteúdo mal-intencionado ou que ele provavelmente fará isso.
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Anomalia de transferência excessiva de dados
Descrição: esse algoritmo detecta uma transferência de dados extraordinariamente alta observada nos logs de rede. Ele usa a série temporal para decompor os dados em componentes sazonais, de tendências e residuais a fim de calcular a linha de base. Qualquer grande desvio repentino da linha de base histórica é considerado uma atividade anormal.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Táticas MITRE ATT&CK: | Exfiltração |
| Técnicas MITRE ATT&CK: | T1030 – Limites de tamanho de transferência de dados T1041 – Exfiltração pelo canal C2 T1011 – Exfiltração por outro meio de rede T1567 – Exfiltração pelo serviço Web T1029 – Transferência agendada T1537 – Transferência de dados para uma conta de nuvem |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Downloads excessivos por meio do Palo Alto GlobalProtect
Descrição: esse algoritmo detecta um volume extraordinariamente alto de downloads por conta de usuário por meio da solução de VPN da Palo Alto. O modelo é treinado nos últimos 14 dias dos logs de VPN. Indica um alto volume anormal de downloads no último dia.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | CommonSecurityLog (VPN PAN) |
| Táticas MITRE ATT&CK: | Exfiltração |
| Técnicas MITRE ATT&CK: | T1030 – Limites de tamanho de transferência de dados T1041 – Exfiltração pelo canal C2 T1011 – Exfiltração por outro meio de rede T1567 – Exfiltração pelo serviço Web T1029 – Transferência agendada T1537 – Transferência de dados para uma conta de nuvem |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Uploads excessivos por meio do Palo Alto GlobalProtect
Descrição: esse algoritmo detecta um volume extraordinariamente alto de uploads por conta de usuário por meio da solução de VPN da Palo Alto. O modelo é treinado nos últimos 14 dias dos logs de VPN. Indica um alto volume anormal de uploads no último dia.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | CommonSecurityLog (VPN PAN) |
| Táticas MITRE ATT&CK: | Exfiltração |
| Técnicas MITRE ATT&CK: | T1030 – Limites de tamanho de transferência de dados T1041 – Exfiltração pelo canal C2 T1011 – Exfiltração por outro meio de rede T1567 – Exfiltração pelo serviço Web T1029 – Transferência agendada T1537 – Transferência de dados para uma conta de nuvem |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Logon de uma região incomum por meio de logons de conta do Palo Alto GlobalProtect
Descrição: quando uma conta do Palo Alto GlobalProtect se conecta em uma região de origem que raramente foi conectada durante os últimos 14 dias, uma anomalia é disparada. Essa anomalia pode indicar que a conta foi comprometida.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | CommonSecurityLog (VPN PAN) |
| Táticas MITRE ATT&CK: | Acesso com credencial Acesso inicial Movimentação lateral |
| Técnicas MITRE ATT&CK: | T1133 – Serviços remotos externos |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Logins em várias regiões em um único dia via Palo Alto GlobalProtect (DESCONTINUADO)
Descrição: esse algoritmo detecta uma conta de usuário que teve entradas de várias regiões não adjacentes em um só dia por meio de uma VPN da Palo Alto.
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Preparo potencial de dados
Descrição: esse algoritmo compara os downloads de arquivos distintos por usuário da semana anterior com os downloads do dia atual para cada usuário, e uma anomalia é disparada quando o número de downloads de arquivos distintos excede o número configurado de desvios padrão acima da média. Atualmente, o algoritmo só analisa arquivos comumente vistos durante a exfiltração de documentos, imagens, vídeos e arquivos com as extensões doc, docx, xls, xlsx, xlsm, ppt, pptx, one, pdf, zip, rar, bmp, jpg, mp3, mp4 e mov.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Log de atividades do Office (Exchange) |
| Táticas MITRE ATT&CK: | Cobrança |
| Técnicas MITRE ATT&CK: | T1074 – Dados preparados |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
DGA (Algoritmo de geração de domínio) potencial em domínios DNS de próximo nível
Descrição: esse modelo de machine learning indica os domínios de nível seguinte (terceiro nível e superior) dos nomes de domínio do último dia de logs do DNS que são incomuns. Eles podem ser a saída de um DGA (algoritmo de geração de domínio). A anomalia se aplica aos registros DNS que são resolvidos para endereços IPv4 e IPv6.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Eventos de DNS |
| Táticas MITRE ATT&CK: | Comando e controle |
| Técnicas MITRE ATT&CK: | T1568 – Resolução dinâmica |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Alteração de geografia suspeita em logons de conta do Palo Alto GlobalProtect
Descrição: uma correspondência indica que um usuário fez logon remotamente em um país/região diferente do país/região do último acesso remoto do usuário. Essa regra também pode indicar um comprometimento da conta, especialmente se as correspondências de regra ocorreram perto no tempo. Isso inclui o cenário de viagens impossíveis.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | CommonSecurityLog (VPN PAN) |
| Táticas MITRE ATT&CK: | Acesso inicial Acesso com credencial |
| Técnicas MITRE ATT&CK: | T1133 – Serviços remotos externos T1078 – Contas válidas |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Número suspeito de documentos protegidos acessados
Descrição: esse algoritmo detecta um alto volume de acesso a documentos protegidos nos logs da AIP (Proteção de Informações do Azure). Ele considera os registros de carga de trabalho da AIP para um número especificado de dias e determina se o usuário realizou um acesso incomum a documentos protegidos em um dia considerando o comportamento histórico.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Proteção de Informações do Azure |
| Táticas MITRE ATT&CK: | Cobrança |
| Técnicas MITRE ATT&CK: | T1530 – Dados do objeto de armazenamento em nuvem T1213 – Dados dos repositórios de informações T1005 – Dados do sistema local T1039 – Dados da unidade compartilhada de rede T1114 – Coleção de email |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Volume suspeito de chamadas à API da AWS de um endereço IP de origem não proveniente da AWS
Descrição: esse algoritmo detecta um volume extraordinariamente alto de chamadas à API da AWS por conta de usuário e por workspace no último dia, de endereços IP de origem fora dos intervalos de IP de origem da AWS. O modelo é treinado nos últimos 21 dias de eventos de log do AWS CloudTrail por endereço IP de origem. Essa atividade pode indicar que a conta de usuário está comprometida.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs do CloudTrail do AWS |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Volume suspeito de eventos de log do AWS CloudTrail da conta de usuário do grupo por EventTypeName
Descrição: esse algoritmo detecta um volume extraordinariamente alto de eventos por conta de usuário de grupo, por tipos de eventos diferentes (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction), no log do AWS CloudTrail no último dia. O modelo é treinado nos últimos 21 dias de eventos de log do AWS CloudTrail por conta de usuário do grupo. Essa atividade pode indicar que a conta está comprometida.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs do CloudTrail do AWS |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Volume suspeito de chamadas à API de gravação da AWS em uma conta de usuário
Descrição: esse algoritmo detecta um volume extraordinariamente alto de chamadas à API de gravação da AWS por conta de usuário no último dia. O modelo é treinado nos últimos 21 dias de eventos de log do AWS CloudTrail por conta de usuário. Essa atividade pode indicar que a conta está comprometida.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs do CloudTrail do AWS |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Volume suspeito de tentativas de logon com falha no Console da AWS por conta de usuário do grupo
Descrição: esse algoritmo detecta um volume extraordinariamente alto de tentativas de logon com falha no Console da AWS por conta de usuário do grupo no log do AWS CloudTrail no último dia. O modelo é treinado nos últimos 21 dias de eventos de log do AWS CloudTrail por conta de usuário do grupo. Essa atividade pode indicar que a conta está comprometida.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs do CloudTrail do AWS |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Volume suspeito de tentativas de logon com falha no Console da AWS por endereço IP de origem
Descrição: esse algoritmo detecta um volume extraordinariamente alto de eventos de logon com falha no Console da AWS por endereço IP de origem no log do AWS CloudTrail no último dia. O modelo é treinado nos últimos 21 dias de eventos de log do AWS CloudTrail por endereço IP de origem. Essa atividade pode indicar que o endereço IP está comprometido.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs do CloudTrail do AWS |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Volume suspeito de logons no computador
Descrição: esse algoritmo detecta um volume extraordinariamente alto de logons bem-sucedidos (ID do evento de segurança 4624) por computador no último dia. O modelo é treinado nos últimos 21 dias de logs de eventos da Segurança do Windows.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Volume suspeito de logons no computador com token elevado
Descrição: esse algoritmo detecta um volume extraordinariamente alto de logons bem-sucedidos (ID do evento de segurança 4624) com privilégios administrativos, por computador, no último dia. O modelo é treinado nos últimos 21 dias de logs de eventos da Segurança do Windows.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Volume suspeito de logons na conta de usuário
Descrição: esse algoritmo detecta um volume extraordinariamente alto de logons bem-sucedidos (ID do evento de segurança 4624) por conta de usuário no último dia. O modelo é treinado nos últimos 21 dias de logs de eventos da Segurança do Windows.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Volume suspeito de logons na conta de usuário por tipos de logon
Descrição: esse algoritmo detecta um volume extraordinariamente alto de logons bem-sucedidos (ID do evento de segurança 4624) por conta de usuário e por tipos de logon diferentes no último dia. O modelo é treinado nos últimos 21 dias de logs de eventos da Segurança do Windows.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Volume suspeito de logons na conta de usuário com token elevado
Descrição: esse algoritmo detecta um volume extraordinariamente alto de logons bem-sucedidos (ID do evento de segurança 4624) com privilégios administrativos, por conta de usuário, no último dia. O modelo é treinado nos últimos 21 dias de logs de eventos da Segurança do Windows.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Alarme de firewall externo incomum detectado
Descrição: esse algoritmo identifica os alarmes de firewall externos incomuns que são assinaturas de ameaça liberadas por um fornecedor de firewall. Ele usa as atividades dos últimos sete dias para calcular as dez assinaturas mais disparadas e os dez hosts que dispararam a maioria das assinaturas. Depois de excluir os dois tipos de eventos com ruído, ele dispara uma anomalia somente depois de exceder o limite para o número de assinaturas disparadas em um só dia.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | CommonSecurityLog (PAN) |
| Táticas MITRE ATT&CK: | Descoberta Comando e controle |
| Técnicas MITRE ATT&CK: | Descoberta: T1046 – Verificação do serviço de rede T1135 – Descoberta de compartilhamento de rede Comando e controle: T1071 – Protocolo de camada aplicável T1095 – Protocolo de camada não aplicável T1571 – Porta não padrão |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Rótulo da AIP de downgrade em massa incomum
Descrição: esse algoritmo detecta um volume extraordinariamente alto de atividades de rótulo de downgrade nos logs da AIP (Proteção de Informações do Azure). Ele considera os registros de carga de trabalho da "AIP" para determinado número de dias e determina a sequência de atividades executada em documentos, acompanhado do rótulo aplicado para classificar o volume incomum de atividades de downgrade.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Proteção de Informações do Azure |
| Táticas MITRE ATT&CK: | Cobrança |
| Técnicas MITRE ATT&CK: | T1530 – Dados do objeto de armazenamento em nuvem T1213 – Dados dos repositórios de informações T1005 – Dados do sistema local T1039 – Dados da unidade compartilhada de rede T1114 – Coleção de email |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Comunicação de rede incomum em portas comumente usadas
Descrição: esse algoritmo identifica a comunicação de rede incomum em portas comumente usadas, comparando o tráfego diário com uma linha de base dos últimos sete dias. Isso inclui o tráfego em portas comumente usadas (22, 53, 80, 443, 8080 e 8888) e compara o tráfego diário com o desvio médio e padrão de vários atributos de tráfego de rede calculados durante o período de linha de base. Os atributos de tráfego considerados são eventos totais diários, transferência diária de dados e número de endereços IP de origem distintos por porta. Uma anomalia é disparada quando os valores diários são maiores que o número configurado de desvios padrão acima da média.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| Táticas MITRE ATT&CK: | Comando e controle Exfiltração |
| Técnicas MITRE ATT&CK: | Comando e controle: T1071 – Protocolo de camada aplicável Exfiltração: T1030 – Limites de tamanho de transferência de dados |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Anomalia incomum no volume de rede
Descrição: esse algoritmo detecta um volume extraordinariamente alto de conexões nos logs de rede. Ele usa a série temporal para decompor os dados em componentes sazonais, de tendências e residuais a fim de calcular a linha de base. Qualquer desvio grande repentino da linha de base histórica é considerado como uma atividade anormal.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Táticas MITRE ATT&CK: | Exfiltração |
| Técnicas MITRE ATT&CK: | T1030 – Limites de tamanho de transferência de dados |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Tráfego da Web incomum detectado com o IP no caminho da URL
Descrição: esse algoritmo identifica as solicitações da Web incomuns listando um endereço IP como o host. O algoritmo localiza todas as solicitações da Web com endereços IP no caminho da URL e as compara com a semana anterior de dados para excluir o tráfego benigno conhecido. Depois de excluir o tráfego benigno conhecido, ele dispara uma anomalia somente depois de exceder determinados limites com valores configurados, como total de solicitações da Web, números de URLs vistas com o mesmo endereço IP de destino do host e número de IPs de origem distintos no conjunto de URLs com o mesmo endereço IP de destino. Esse tipo de solicitação pode indicar uma tentativa de ignorar serviços de reputação de URL para fins mal-intencionados.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| Táticas MITRE ATT&CK: | Comando e controle Acesso inicial |
| Técnicas MITRE ATT&CK: | Comando e controle: T1071 – Protocolo de camada aplicável Acesso inicial: T1189 – Comprometimento do drive-by |
Voltar à lista | de anomalias baseadas em Machine Learning Voltar ao topo
Próximas etapas
Saiba mais sobre as anomalias geradas pelo machine learning no Microsoft Sentinel.
Saiba como trabalhar com regras de anomalias.
Investigue incidentes com o Microsoft Sentinel.