Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo lista as anomalias detectadas pelo Microsoft Sentinel usando diferentes modelos de machine learning.
A detecção de anomalias funciona pela análise do comportamento dos usuários em um ambiente durante um período e pela construção de uma linha de base de atividades legítimas. Depois que a linha de base é estabelecida, qualquer atividade fora dos parâmetros normais é considerada anormal e, portanto, suspeita.
O Microsoft Sentinel usa dois modelos diferentes para criar linhas de base e detectar anomalias.
Note
As seguintes detecções de anomalias são descontinuadas a partir de 26 de março de 2024, devido à baixa qualidade dos resultados:
- Anomalia do Palo Alto de reputação de domínio
- Logons de várias regiões em um só dia por meio do Palo Alto GlobalProtect
Important
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte It's Time to Move: Retiring Microsoft Sentinel's Azure portal for more security.
UEBA anomalies
A UEBA do Sentinel detecta as anomalias com base em linhas de base dinâmicas criadas para cada entidade em várias entradas de dados. O comportamento de linha de base de cada entidade é definido de acordo com as atividades históricas delas, com aquelas dos respectivos pares e com aquelas da organização como um todo. As anomalias podem ser disparadas pela correlação de diferentes atributos, como tipo de ação, localização geográfica, dispositivo, recurso, ISP, entre outros.
Você deve habilitar o recurso UEBA para que anomalias UEBA sejam detectadas.
- Remoção de acesso de conta anômômala
- Criação de conta anômômala
- Exclusão de conta anômala
- Manipulação de conta anômática
- UeBA (execução de código anômômalo)
- Destruição de dados anômalos
- Modificação de mecanismo defensivo anômômalo
- Entrada com falha anômômala
- Redefinição de senha anômômala
- Privilégio anômíncrono concedido
- Anomalous Sign-in
Remoção anormal de acesso à conta
Description: An attacker may interrupt the availability of system and network resources by blocking access to accounts used by legitimate users. O invasor pode excluir, bloquear ou manipular uma conta (por exemplo, alterando as credenciais) para remover o acesso a ela.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Logs de Atividades do Azure |
| Táticas MITRE ATT&CK: | Impact |
| Técnicas MITRE ATT&CK: | T1531 – Remoção de acesso à conta |
| Activity: | Microsoft.Authorization/roleAssignments/delete Log Out |
Lista de anomalias | do UEBADe volta ao topo
Criação anormal de contas
Description: Adversaries may create an account to maintain access to targeted systems. Com um nível suficiente de acesso, a criação dessas contas pode ser usada para estabelecer acesso com credencial secundário sem exigir que ferramentas de acesso remoto persistentes sejam implantadas no sistema.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Logs de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Persistence |
| Técnicas MITRE ATT&CK: | T1136 – Criação de contas |
| Sub-técnicas MITRE ATT&CK: | Cloud Account |
| Activity: | Diretório Principal/UserManagement/Adicionar usuário |
Lista de anomalias | do UEBADe volta ao topo
Exclusão anormal de contas
Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. As contas podem ser excluídas, bloqueadas ou manipuladas (por exemplo, credenciais alteradas) para remover o acesso às contas.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Logs de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Impact |
| Técnicas MITRE ATT&CK: | T1531 – Remoção de acesso à conta |
| Activity: | Diretório Principal/UserManagement/Excluir usuário Diretório Principal/Dispositivo/Excluir usuário Diretório Principal/UserManagement/Excluir usuário |
Lista de anomalias | do UEBADe volta ao topo
Manipulação anormal de contas
Description: Adversaries may manipulate accounts to maintain access to target systems. Essas ações incluem a adição de novas contas a grupos com privilégios elevados. O Dragonfly 2.0, por exemplo, adicionou contas recém-criadas ao grupo de administradores para manter o acesso elevado. A consulta abaixo gera uma saída de todos os usuários do Raio de Alta Explosão executando "Atualizar usuário" (alteração de nome) para uma função com privilégios ou aquelas que alteraram os usuários pela primeira vez.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Logs de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Persistence |
| Técnicas MITRE ATT&CK: | T1098 – Manipulação de contas |
| Activity: | Diretório Principal/UserManagement/Atualizar usuário |
Lista de anomalias | do UEBADe volta ao topo
UEBA (execução anormal de código)
Description: Adversaries may abuse command and script interpreters to execute commands, scripts, or binaries. Essas interfaces e linguagens fornecem maneiras de interagir com sistemas de computador e são um recurso comum em várias plataformas diferentes.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Logs de Atividades do Azure |
| Táticas MITRE ATT&CK: | Execution |
| Técnicas MITRE ATT&CK: | T1059 – Interpretador de comando e de script |
| Sub-técnicas MITRE ATT&CK: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
Lista de anomalias | do UEBADe volta ao topo
Destruição anormal de dados
Description: Adversaries may destroy data and files on specific systems or in large numbers on a network to interrupt availability to systems, services, and network resources. Provavelmente, a destruição de dados tornará os dados armazenados irrecuperáveis por técnicas forenses por meio da substituição de arquivos ou dados em unidades locais e remotas.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Logs de Atividades do Azure |
| Táticas MITRE ATT&CK: | Impact |
| Técnicas MITRE ATT&CK: | T1485 – Destruição de dados |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Lista de anomalias | do UEBADe volta ao topo
Modificação anormal do mecanismo de defesa
Description: Adversaries may disable security tools to avoid possible detection of their tools and activities.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Logs de Atividades do Azure |
| Táticas MITRE ATT&CK: | Defense Evasion |
| Técnicas MITRE ATT&CK: | T1562 – Prejudicar as defesas |
| Sub-técnicas MITRE ATT&CK: | Desabilitar ou modificar ferramentas Desabilitar ou modificar o firewall de nuvem |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Lista de anomalias | do UEBADe volta ao topo
Entrada com falha anormal
Description: Adversaries with no prior knowledge of legitimate credentials within the system or environment may guess passwords to attempt access to accounts.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Logs de entrada do Microsoft Entra Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Credential Access |
| Técnicas MITRE ATT&CK: | T1110 – Força bruta |
| Activity: |
ID do Microsoft Entra: Atividade de entrada Windows Security: Failed login (Event ID 4625) |
Lista de anomalias | do UEBADe volta ao topo
Redefinição anormal de senha
Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. As contas podem ser excluídas, bloqueadas ou manipuladas (por exemplo, credenciais alteradas) para remover o acesso às contas.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Logs de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Impact |
| Técnicas MITRE ATT&CK: | T1531 – Remoção de acesso à conta |
| Activity: | Diretório Principal/UserManagement/Redefinição de senha do usuário |
Lista de anomalias | do UEBADe volta ao topo
Privilégio anormal concedido
Description: Adversaries may add adversary-controlled credentials for Azure Service Principals in addition to existing legitimate credentials to maintain persistent access to victim Azure accounts.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Logs de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Persistence |
| Técnicas MITRE ATT&CK: | T1098 – Manipulação de contas |
| Sub-técnicas MITRE ATT&CK: | Adicionar credenciais de entidade de serviço do Azure |
| Activity: | Provisionamento de conta/gerenciamento de aplicativos/adicionar atribuição de função do aplicativo à entidade de serviço |
Lista de anomalias | do UEBADe volta ao topo
Anomalous Sign-in
Description: Adversaries may steal the credentials of a specific user or service account using Credential Access techniques or capture credentials earlier in their reconnaissance process through social engineering for means of gaining Persistence.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Logs de entrada do Microsoft Entra Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Persistence |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
| Activity: |
ID do Microsoft Entra: Atividade de entrada Windows Security: Successful login (Event ID 4624) |
Lista de anomalias | do UEBADe volta ao topo
Anomalias baseadas em machine learning
As anomalias personalizáveis baseadas no machine learning do Microsoft Sentinel podem identificar o comportamento anormal com modelos de regra de análise que podem ser colocados para funcionar imediatamente. Embora as anomalias não indiquem necessariamente um comportamento mal-intencionado ou mesmo suspeito por si só, elas podem ser usadas para aprimorar as detecções, as investigações e a busca por ameaças.
- Operações anômalas do Azure
- Execução de código anômômala
- Criação de conta local anômômala
- Atividades anômalas do usuário no Office Exchange
- Tentativa de força bruta do computador
- Tentativa de força bruta da conta de usuário
- Tentativa de força bruta da conta de usuário por tipo de logon
- Tentativa de força bruta da conta de usuário por motivo de falha
- Detectar o comportamento de beacon de rede gerado pelo computador
- Algoritmo de geração de domínio (DGA) em domínios DNS
- Downloads excessivos por meio do Palo Alto GlobalProtect
- Uploads excessivos por meio do Palo Alto GlobalProtect
- Potencial algoritmo de geração de domínio (DGA) em domínios DNS de nível seguinte
- Volume suspeito de chamadas de API AWS de endereço IP de origem não AWS
- Volume suspeito de chamadas de API de gravação da AWS de uma conta de usuário
- Volume suspeito de logons no computador
- Volume suspeito de logons no computador com token com privilégios elevados
- Volume suspeito de logons na conta de usuário
- Volume suspeito de logons na conta de usuário por tipos de logon
- Volume suspeito de logons na conta de usuário com token com privilégios elevados
Operações anormais do Azure
Description: This detection algorithm collects 21 days' worth of data on Azure operations grouped by user to train this ML model. Em seguida, o algoritmo gera anomalias no caso de usuários que executaram sequências de operações incomuns nos respectivos workspaces. O modelo de ML treinado pontua as operações executadas pelo usuário e considera anormais aquelas cuja pontuação é maior que o limite definido.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | Logs de Atividades do Azure |
| Táticas MITRE ATT&CK: | Initial Access |
| Técnicas MITRE ATT&CK: | T1190 – Exploração do aplicativo voltado para o público |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Execução anormal de código
Description: Attackers may abuse command and script interpreters to execute commands, scripts, or binaries. Essas interfaces e linguagens fornecem maneiras de interagir com sistemas de computador e são um recurso comum em várias plataformas diferentes.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | Logs de Atividades do Azure |
| Táticas MITRE ATT&CK: | Execution |
| Técnicas MITRE ATT&CK: | T1059 – Interpretador de comando e de script |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Criação anormal de conta local
Description: This algorithm detects anomalous local account creation on Windows systems. Os invasores podem criar contas locais para manter o acesso aos sistemas escolhidos como alvo. Esse algoritmo analisa a atividade de criação de conta local nos últimos 14 dias pelos usuários. Ele procura atividades semelhantes no dia atual de usuários que não foram vistos anteriormente na atividade histórica. Você pode especificar uma lista de permitidos para excluir os usuários conhecidos do disparo dessa anomalia.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Persistence |
| Técnicas MITRE ATT&CK: | T1136 – Criação de contas |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Atividades anormais de usuário no Office Exchange
Description: This machine learning model groups the Office Exchange logs on a per-user basis into hourly buckets. Definimos uma hora como uma sessão. O modelo é treinado nos últimos sete dias de comportamento de todos os usuários comuns (não administradores). Indica as sessões de usuário anormais do Office Exchange no último dia.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | Log de atividades do Office (Exchange) |
| Táticas MITRE ATT&CK: | Persistence Collection |
| Técnicas MITRE ATT&CK: |
Collection: T1114 – Coleção de email T1213 – Dados dos repositórios de informações Persistence: T1098 – Manipulação de contas T1136 – Criação de contas T1137 – Inicialização de aplicativo Office T1505 – Componente do software para servidores |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Tentativa de força bruta do computador
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per computer over the past day. O modelo é treinado nos últimos 21 dias de logs de eventos de segurança do Windows.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Credential Access |
| Técnicas MITRE ATT&CK: | T1110 – Força bruta |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Tentativa de força bruta da conta de usuário
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account over the past day. O modelo é treinado nos últimos 21 dias de logs de eventos de segurança do Windows.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Credential Access |
| Técnicas MITRE ATT&CK: | T1110 – Força bruta |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Tentativa de força bruta da conta de usuário por tipo de logon
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per logon type over the past day. O modelo é treinado nos últimos 21 dias de logs de eventos de segurança do Windows.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Credential Access |
| Técnicas MITRE ATT&CK: | T1110 – Força bruta |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Tentativa de força bruta da conta de usuário por motivo de falha
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per failure reason over the past day. O modelo é treinado nos últimos 21 dias de logs de eventos de segurança do Windows.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Credential Access |
| Técnicas MITRE ATT&CK: | T1110 – Força bruta |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Detectar o comportamento de sinalizadores de rede gerados pelo computador
Description: This algorithm identifies beaconing patterns from network traffic connection logs based on recurrent time delta patterns. Qualquer conexão de rede com redes públicas não confiáveis em deltas de tempo repetitivos é uma indicação de retornos de chamada de malware ou tentativas de exfiltração dos dados. O algoritmo calculará o delta de tempo entre conexões de rede consecutivas entre o mesmo IP de origem e o IP de destino, bem como o número de conexões em uma sequência de delta de tempo entre as mesmas fontes e destinos. O percentual de sinalizadores é calculado como as conexões na sequência de delta de tempo em relação ao total de conexões em um dia.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | CommonSecurityLog (PAN) |
| Táticas MITRE ATT&CK: | Comando e controle |
| Técnicas MITRE ATT&CK: | T1071 – Protocolo de camada aplicável T1132 – Codificação de dados T1001 – Ofuscação de dados T1568 – Resolução dinâmica T1573 – Canal criptografado T1008 – Canais de fallback T1104 – Canais de várias fases T1095 – Protocolo de camada não aplicável T1571 – Porta não padrão T1572 – Túnel do protocolo T1090 – Proxy T1205 – Sinalização de tráfego T1102 – Serviço Web |
Lista de anomalias baseadas | em machine learningDe volta ao topo
DGA (Algoritmo de geração de domínio) em domínios DNS
Description: This machine learning model indicates potential DGA domains from the past day in the DNS logs. O algoritmo se aplica aos registros DNS que são resolvidos para endereços IPv4 e IPv6.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | DNS Events |
| Táticas MITRE ATT&CK: | Comando e controle |
| Técnicas MITRE ATT&CK: | T1568 – Resolução dinâmica |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Downloads excessivos por meio do Palo Alto GlobalProtect
Description: This algorithm detects unusually high volume of download per user account through the Palo Alto VPN solution. O modelo é treinado nos últimos 14 dias dos logs de VPN. Indica um alto volume anormal de downloads no último dia.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | CommonSecurityLog (VPN PAN) |
| Táticas MITRE ATT&CK: | Exfiltration |
| Técnicas MITRE ATT&CK: | T1030 – Limites de tamanho de transferência de dados T1041 – Exfiltração pelo canal C2 T1011 – Exfiltração por outro meio de rede T1567 – Exfiltração pelo serviço Web T1029 – Transferência agendada T1537 – Transferência de dados para uma conta de nuvem |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Uploads excessivos por meio do Palo Alto GlobalProtect
Description: This algorithm detects unusually high volume of upload per user account through the Palo Alto VPN solution. O modelo é treinado nos últimos 14 dias dos logs de VPN. Indica um alto volume anormal de uploads no último dia.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | CommonSecurityLog (VPN PAN) |
| Táticas MITRE ATT&CK: | Exfiltration |
| Técnicas MITRE ATT&CK: | T1030 – Limites de tamanho de transferência de dados T1041 – Exfiltração pelo canal C2 T1011 – Exfiltração por outro meio de rede T1567 – Exfiltração pelo serviço Web T1029 – Transferência agendada T1537 – Transferência de dados para uma conta de nuvem |
Lista de anomalias baseadas | em machine learningDe volta ao topo
DGA (Algoritmo de geração de domínio) potencial em domínios DNS de próximo nível
Description: This machine learning model indicates the next-level domains (third-level and up) of the domain names from the last day of DNS logs that are unusual. Eles podem ser a saída de um DGA (algoritmo de geração de domínio). A anomalia se aplica aos registros DNS que são resolvidos para endereços IPv4 e IPv6.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | DNS Events |
| Táticas MITRE ATT&CK: | Comando e controle |
| Técnicas MITRE ATT&CK: | T1568 – Resolução dinâmica |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Volume suspeito de chamadas à API da AWS de um endereço IP de origem não proveniente da AWS
Description: This algorithm detects an unusually high volume of AWS API calls per user account per workspace, from source IP addresses outside of AWS's source IP ranges, within the last day. O modelo é treinado nos últimos 21 dias de eventos de log do AWS CloudTrail por endereço IP de origem. Essa atividade pode indicar que a conta de usuário está comprometida.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | Logs do CloudTrail do AWS |
| Táticas MITRE ATT&CK: | Initial Access |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Volume suspeito de chamadas à API de gravação da AWS em uma conta de usuário
Description: This algorithm detects an unusually high volume of AWS write API calls per user account within the last day. O modelo é treinado nos últimos 21 dias de eventos de log do AWS CloudTrail por conta de usuário. Essa atividade pode indicar que a conta está comprometida.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | Logs do CloudTrail do AWS |
| Táticas MITRE ATT&CK: | Initial Access |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Volume suspeito de logons no computador
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per computer over the past day. O modelo é treinado nos últimos 21 dias de logs de eventos da Segurança do Windows.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Initial Access |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Volume suspeito de logons no computador com token elevado
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per computer, over the last day. O modelo é treinado nos últimos 21 dias de logs de eventos da Segurança do Windows.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Initial Access |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Volume suspeito de logons na conta de usuário
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account over the past day. O modelo é treinado nos últimos 21 dias de logs de eventos da Segurança do Windows.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Initial Access |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Volume suspeito de logons na conta de usuário por tipos de logon
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account, by different logon types, over the past day. O modelo é treinado nos últimos 21 dias de logs de eventos da Segurança do Windows.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Initial Access |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Volume suspeito de logons na conta de usuário com token elevado
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per user account, over the last day. O modelo é treinado nos últimos 21 dias de logs de eventos da Segurança do Windows.
| Attribute | Value |
|---|---|
| Anomaly type: | Machine learning personalizável |
| Data sources: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Initial Access |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Next steps
Saiba mais sobre anomalias geradas pelo machine learning no Microsoft Sentinel.
Saiba como trabalhar com regras de anomalias.
Investigate incidents with Microsoft Sentinel.