Anomalias detetadas pelo mecanismo de aprendizado de máquina Microsoft Sentinel
Este artigo lista as anomalias que o Microsoft Sentinel deteta usando diferentes modelos de aprendizado de máquina.
A deteção de anomalias funciona analisando o comportamento dos usuários em um ambiente durante um período de tempo e construindo uma linha de base de atividade legítima. Uma vez estabelecida a linha de base, qualquer atividade fora dos parâmetros normais é considerada anómala e, por conseguinte, suspeita.
O Microsoft Sentinel usa dois modelos diferentes para criar linhas de base e detetar anomalias.
Nota
As seguintes deteções de anomalias são descontinuadas a partir de 26 de março de 2024, devido à baixa qualidade dos resultados:
- Reputação do Domínio Anomalia Palo Alto
- Logins multi-região em um único dia via Palo Alto GlobalProtect
Importante
O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Anomalias da UEBA
O Sentinel UEBA deteta anomalias com base em linhas de base dinâmicas criadas para cada entidade através de várias entradas de dados. O comportamento de base de cada entidade é definido de acordo com suas próprias atividades históricas, as de seus pares e as da organização como um todo. As anomalias podem ser desencadeadas pela correlação de diferentes atributos, como tipo de ação, geolocalização, dispositivo, recurso, ISP e muito mais.
Você deve habilitar o recurso UEBA para que anomalias UEBA sejam detetadas.
- Remoção de acesso anômalo à conta
- Criação de Conta Anômala
- Exclusão anômala de conta
- Manipulação anômala de contas
- Execução Anômala de Código (UEBA)
- Destruição anômala de dados
- Modificação anômala do mecanismo defensivo
- Falha de entrada anômala
- Redefinição anômala de senha
- Privilégio anômalo concedido
- Login anômalo
Remoção de acesso anômalo à conta
Descrição: um invasor pode interromper a disponibilidade de recursos do sistema e da rede bloqueando o acesso a contas usadas por usuários legítimos. O invasor pode excluir, bloquear ou manipular uma conta (por exemplo, alterando suas credenciais) para remover o acesso a ela.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de Dados: | Logs de atividade do Azure |
| Táticas MITRE ATT&CK: | Impacto |
| Técnicas MITRE ATT&CK: | T1531 - Remoção de Acesso à Conta |
| Atividade: | Microsoft.Authorization/roleAssignments/delete Terminar sessão |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Criação de Conta Anômala
Descrição: Os adversários podem criar uma conta para manter o acesso aos sistemas visados. Com um nível suficiente de acesso, a criação dessas contas pode ser usada para estabelecer acesso credenciado secundário sem exigir que ferramentas de acesso remoto persistentes sejam implantadas no sistema.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de Dados: | Registos de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Persistência |
| Técnicas MITRE ATT&CK: | T1136 - Criar Conta |
| Sub-técnicas MITRE ATT&CK: | Conta na nuvem |
| Atividade: | Core Directory/UserManagement/Adicionar usuário |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Exclusão anômala de conta
Descrição: Os adversários podem interromper a disponibilidade dos recursos do sistema e da rede, inibindo o acesso a contas utilizadas por utilizadores legítimos. As contas podem ser excluídas, bloqueadas ou manipuladas (por exemplo, credenciais alteradas) para remover o acesso às contas.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de Dados: | Registos de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Impacto |
| Técnicas MITRE ATT&CK: | T1531 - Remoção de Acesso à Conta |
| Atividade: | Core Directory/UserManagement/Excluir usuário Core Directory/Device/Delete usuário Core Directory/UserManagement/Excluir usuário |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Manipulação anômala de contas
Descrição: Os adversários podem manipular contas para manter o acesso aos sistemas de destino. Essas ações incluem a adição de novas contas a grupos altamente privilegiados. O Dragonfly 2.0, por exemplo, adicionou contas recém-criadas ao grupo de administradores para manter o acesso elevado. A consulta abaixo gera uma saída de todos os usuários de raio de explosão alto executando "Atualizar usuário" (alteração de nome) para função privilegiada ou aqueles que alteraram usuários pela primeira vez.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de Dados: | Registos de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Persistência |
| Técnicas MITRE ATT&CK: | T1098 - Manipulação de Conta |
| Atividade: | Diretório principal/UserManagement/Usuário de atualização |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Execução Anômala de Código (UEBA)
Descrição: Os adversários podem abusar de interpretadores de comandos e scripts para executar comandos, scripts ou binários. Estas interfaces e linguagens proporcionam formas de interagir com sistemas informáticos e são uma característica comum a muitas plataformas diferentes.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de Dados: | Logs de atividade do Azure |
| Táticas MITRE ATT&CK: | Execução |
| Técnicas MITRE ATT&CK: | T1059 - Interpretador de Comandos e Scripts |
| Sub-técnicas MITRE ATT&CK: | PowerShell |
| Atividade: | Microsoft.Compute/virtualMachines/runCommand/action |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Destruição anômala de dados
Descrição: Os adversários podem destruir dados e arquivos em sistemas específicos ou em grande número em uma rede para interromper a disponibilidade de sistemas, serviços e recursos de rede. É provável que a destruição de dados torne os dados armazenados irrecuperáveis por técnicas forenses através da substituição de ficheiros ou dados em unidades locais e remotas.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de Dados: | Logs de atividade do Azure |
| Táticas MITRE ATT&CK: | Impacto |
| Técnicas MITRE ATT&CK: | T1485 - Destruição de Dados |
| Atividade: | Microsoft.Compute/disks/delete Microsoft.Compute/galerias/imagens/excluir Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/eliminar Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Excluir Microsoft.Devices/iotHubs/Excluir Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationContas/parceiros/excluir Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/excluir |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Modificação anômala do mecanismo defensivo
Descrição: Os adversários podem desativar as ferramentas de segurança para evitar a possível deteção das suas ferramentas e atividades.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de Dados: | Logs de atividade do Azure |
| Táticas MITRE ATT&CK: | Evasão de Defesa |
| Técnicas MITRE ATT&CK: | T1562 - Defesas Prejudicadas |
| Sub-técnicas MITRE ATT&CK: | Desativar ou modificar ferramentas Desativar ou modificar o Cloud Firewall |
| Atividade: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/excluir Microsoft.Network/ddosProtectionPlans/excluir Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Falha de entrada anômala
Descrição: Adversários sem conhecimento prévio de credenciais legítimas dentro do sistema ou ambiente podem adivinhar senhas para tentar acessar contas.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de Dados: | Registos de início de sessão do Microsoft Entra Logs de segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso a credenciais |
| Técnicas MITRE ATT&CK: | T1110 - Força Bruta |
| Atividade: | Microsoft Entra ID: atividade de início de sessão Segurança do Windows: Falha no login (ID do Evento 4625) |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Redefinição anômala de senha
Descrição: Os adversários podem interromper a disponibilidade dos recursos do sistema e da rede, inibindo o acesso a contas utilizadas por utilizadores legítimos. As contas podem ser excluídas, bloqueadas ou manipuladas (por exemplo, credenciais alteradas) para remover o acesso às contas.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de Dados: | Registos de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Impacto |
| Técnicas MITRE ATT&CK: | T1531 - Remoção de Acesso à Conta |
| Atividade: | Redefinição de senha do Core Directory/UserManagement/User |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Privilégio anômalo concedido
Descrição: os adversários podem adicionar credenciais controladas por adversários para Entidades de Serviço do Azure, além das credenciais legítimas existentes para manter o acesso persistente às contas do Azure vítimas.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de Dados: | Registos de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Persistência |
| Técnicas MITRE ATT&CK: | T1098 - Manipulação de Conta |
| Sub-técnicas MITRE ATT&CK: | Credenciais adicionais da entidade de serviço do Azure |
| Atividade: | Provisionamento de conta/Gerenciamento de aplicativos/Adicionar atribuição de função de aplicativo à entidade de serviço |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Login anômalo
Descrição: Os adversários podem roubar as credenciais de um usuário específico ou conta de serviço usando técnicas de Acesso a Credenciais ou capturar credenciais no início de seu processo de reconhecimento por meio de engenharia social para obter Persistência.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de Dados: | Registos de início de sessão do Microsoft Entra Logs de segurança do Windows |
| Táticas MITRE ATT&CK: | Persistência |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
| Atividade: | Microsoft Entra ID: atividade de início de sessão Segurança do Windows: Login bem-sucedido (ID do Evento 4624) |
Voltar à lista | de anomalias da UEBA Voltar ao topo
Anomalias baseadas em aprendizagem automática
As anomalias personalizáveis e baseadas em aprendizado de máquina do Microsoft Sentinel podem identificar comportamentos anômalos com modelos de regras de análise que podem ser colocados para funcionar imediatamente. Embora as anomalias não indiquem necessariamente comportamentos maliciosos ou mesmo suspeitos por si só, elas podem ser usadas para melhorar as deteções, investigações e caça a ameaças.
- Sessões de início de sessão anómalas do Microsoft Entra
- Operações anômalas do Azure
- Execução de código anômalo
- Criação anômala de conta local
- Atividade de varredura anômala
- Atividades anômalas do usuário no Office Exchange
- Atividades anômalas de usuário/aplicativo nos logs de auditoria do Azure
- Atividade de logs anômalos do W3CIIS
- Atividade anômala de solicitação da Web
- Tentativa de força bruta no computador
- Tentativa de força bruta da conta de utilizador
- Tentativa de força bruta da conta de usuário por tipo de login
- Tentativa de força bruta da conta de usuário por motivo de falha
- Detetar o comportamento de balizamento de rede gerado pela máquina
- Algoritmo de geração de domínio (DGA) em domínios DNS
- Anomalia de Reputação de Domínio Palo Alto (DESCONTINUADO)
- Anomalia excessiva de transferência de dados
- Downloads excessivos via Palo Alto GlobalProtect
- Uploads excessivos via Palo Alto GlobalProtect
- Faça login a partir de uma região incomum através de logins de conta Palo Alto GlobalProtect
- Logins multi-região em um único dia via Palo Alto GlobalProtect (DESCONTINUADO)
- Potencial preparo de dados
- Algoritmo de geração de domínio potencial (DGA) em domínios DNS de próximo nível
- Alteração de geografia suspeita nos logins da conta Palo Alto GlobalProtect
- Número suspeito de documentos protegidos acessados
- Volume suspeito de chamadas de API da AWS de endereços IP de origem que não são da AWS
- Volume suspeito de eventos de log do AWS CloudTrail da conta de usuário do grupo por EventTypeName
- Volume suspeito de chamadas de API de gravação da AWS a partir de uma conta de usuário
- Volume suspeito de tentativas de login com falha no Console AWS por cada conta de usuário do grupo
- Volume suspeito de tentativas de login com falha no Console AWS por cada endereço IP de origem
- Volume suspeito de logins no computador
- Volume suspeito de logins no computador com token elevado
- Volume suspeito de logins na conta de usuário
- Volume suspeito de logins na conta de usuário por tipos de logon
- Volume suspeito de logins na conta de usuário com token elevado
- Alarme de firewall externo incomum detetado
- Rótulo AIP de downgrade de massa incomum
- Comunicação de rede incomum em portas comumente usadas
- Anomalia de volume de rede incomum
- Tráfego da Web incomum detetado com IP no caminho do URL
Sessões de início de sessão anómalas do Microsoft Entra
Descrição: O modelo de aprendizado de máquina agrupa os logs de entrada do Microsoft Entra por usuário. O modelo é treinado nos 6 dias anteriores do comportamento de entrada do usuário. Ele indica sessões anômalas de login do usuário no dia anterior.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Registos de início de sessão do Microsoft Entra |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas T1566 - Phishing T1133 - Serviços Remotos Externos |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Operações anômalas do Azure
Descrição: este algoritmo de deteção recolhe dados de 21 dias sobre operações do Azure agrupadas por utilizador para treinar este modelo de ML. O algoritmo então gera anomalias no caso de usuários que realizaram sequências de operações incomuns em seus espaços de trabalho. O modelo de ML treinado pontua as operações realizadas pelo usuário e considera anômalas aquelas cuja pontuação é maior do que o limiar definido.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Logs de atividade do Azure |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1190 - Explorar aplicativo voltado para o público |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Execução de código anômalo
Descrição: Os atacantes podem abusar de interpretadores de comandos e scripts para executar comandos, scripts ou binários. Estas interfaces e linguagens proporcionam formas de interagir com sistemas informáticos e são uma característica comum a muitas plataformas diferentes.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Logs de atividade do Azure |
| Táticas MITRE ATT&CK: | Execução |
| Técnicas MITRE ATT&CK: | T1059 - Interpretador de Comandos e Scripts |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Criação anômala de conta local
Descrição: Este algoritmo deteta a criação anómala de contas locais em sistemas Windows. Os atacantes podem criar contas locais para manter o acesso aos sistemas visados. Este algoritmo analisa a atividade de criação de conta local nos 14 dias anteriores pelos utilizadores. Ele procura atividade semelhante no dia atual de usuários que não foram vistos anteriormente na atividade histórica. Você pode especificar uma lista de permissões para filtrar usuários conhecidos de acionar essa anomalia.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Logs de segurança do Windows |
| Táticas MITRE ATT&CK: | Persistência |
| Técnicas MITRE ATT&CK: | T1136 - Criar Conta |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Atividade de varredura anômala
Descrição: Este algoritmo procura a atividade de varredura de portas, proveniente de um único IP de origem para um ou mais IPs de destino, que normalmente não é vista em um determinado ambiente.
O algoritmo leva em conta se o IP é público/externo ou privado/interno, e o evento é marcado de acordo. Apenas a atividade privada-para-pública ou pública-para-privada é considerada neste momento. A atividade de varredura pode indicar um invasor tentando determinar os serviços disponíveis em um ambiente que pode ser potencialmente explorado e usado para entrada ou movimento lateral. Um alto número de portas de origem e um alto número de portas de destino de um único IP de origem para um IP ou IPs de destino único ou múltiplo podem ser interessantes e indicar verificação anômala. Além disso, se houver uma alta proporção de IPs de destino para o IP de origem única, isso pode indicar verificação anômala.
Detalhes de configuração:
- O padrão de execução do trabalho é diário, com compartimentos por hora.
O algoritmo usa os seguintes padrões configuráveis para limitar os resultados com base em compartimentos horários. - Ações incluídas do dispositivo - aceitar, permitir, iniciar
- Portas excluídas - 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
- Contagem >de portas de destino distintas = 600
- Contagem >de portas de origem distintas = 600
- Contagem de portas de origem distintas dividida por porta de destino distinta, proporção convertida em porcentagem >= 99,99
- IP de origem (sempre 1) dividido pelo IP de destino, proporção convertida em porcentagem >= 99,99
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Táticas MITRE ATT&CK: | Deteção |
| Técnicas MITRE ATT&CK: | T1046 - Verificação de serviços de rede |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Atividades anômalas do usuário no Office Exchange
Descrição: Este modelo de aprendizado de máquina agrupa os logs do Office Exchange por usuário em buckets por hora. Definimos uma hora como uma sessão. O modelo é treinado nos últimos 7 dias de comportamento em todos os usuários regulares (não administradores). Ele indica sessões anômalas do Office Exchange no último dia.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Log de atividades do Office (Exchange) |
| Táticas MITRE ATT&CK: | Persistência Coleção |
| Técnicas MITRE ATT&CK: | Recolha: T1114 - Recolha de Email T1213 - Dados de repositórios de informação Persistência: T1098 - Manipulação de Conta T1136 - Criar Conta T1137 - Inicialização de aplicativos do Office T1505 - Componente de Software de Servidor |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Atividades anômalas de usuário/aplicativo nos logs de auditoria do Azure
Descrição: esse algoritmo identifica sessões anômalas de usuário/aplicativo do Azure em logs de auditoria do último dia, com base no comportamento dos 21 dias anteriores em todos os usuários e aplicativos. O algoritmo verifica se há volume suficiente de dados antes de treinar o modelo.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Registos de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Coleção Deteção Acesso inicial Persistência Escalamento de Privilégios |
| Técnicas MITRE ATT&CK: | Recolha: T1530 - Dados do objeto de armazenamento em nuvem Deteção: T1087 - Descoberta de conta T1538 - Painel de serviços na nuvem T1526 - Descoberta de serviços na nuvem T1069 - Descoberta de grupos de permissão T1518 - Descoberta de Software Acesso inicial: T1190 - Explorar aplicativo voltado para o público T1078 - Contas Válidas Persistência: T1098 - Manipulação de Conta T1136 - Criar Conta T1078 - Contas Válidas Escalamento de Privilégios: T1484 - Modificação da Política de Domínio T1078 - Contas Válidas |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Atividade de logs anômalos do W3CIIS
Descrição: Este algoritmo de aprendizagem automática indica sessões anómalas do IIS no último dia. Ele capturará, por exemplo, um número anormalmente alto de consultas URI distintas, agentes de usuário ou logs em uma sessão, ou de verbos HTTP específicos ou status HTTP em uma sessão. O algoritmo identifica eventos W3CIISLog incomuns dentro de uma sessão horária, agrupados por nome do site e IP do cliente. O modelo é treinado nos últimos 7 dias de atividade do IIS. O algoritmo verifica se há volume suficiente de atividade do IIS antes de treinar o modelo.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Registos W3CIIS |
| Táticas MITRE ATT&CK: | Acesso inicial Persistência |
| Técnicas MITRE ATT&CK: | Acesso inicial: T1190 - Explorar aplicativo voltado para o público Persistência: T1505 - Componente de Software de Servidor |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Atividade anômala de solicitação da Web
Descrição: Este algoritmo agrupa eventos W3CIISLog em sessões horárias agrupadas por nome do site e haste de URI. O modelo de aprendizado de máquina identifica sessões com números anormalmente altos de solicitações que dispararam códigos de resposta de classe 5xx no último dia. Os códigos de classe 5xx são uma indicação de que alguma instabilidade do aplicativo ou condição de erro foi acionada pela solicitação. Eles podem ser uma indicação de que um invasor está investigando o tronco de URI em busca de vulnerabilidades e problemas de configuração, executando alguma atividade de exploração, como injeção de SQL, ou aproveitando uma vulnerabilidade não corrigida. Este algoritmo utiliza 6 dias de dados para treino.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Registos W3CIIS |
| Táticas MITRE ATT&CK: | Acesso inicial Persistência |
| Técnicas MITRE ATT&CK: | Acesso inicial: T1190 - Explorar aplicativo voltado para o público Persistência: T1505 - Componente de Software de Servidor |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Tentativa de força bruta no computador
Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por computador no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de segurança do Windows.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Logs de segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso a credenciais |
| Técnicas MITRE ATT&CK: | T1110 - Força Bruta |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Tentativa de força bruta da conta de utilizador
Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por conta de utilizador no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de segurança do Windows.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Logs de segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso a credenciais |
| Técnicas MITRE ATT&CK: | T1110 - Força Bruta |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Tentativa de força bruta da conta de usuário por tipo de login
Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por conta de utilizador por tipo de início de sessão no dia anterior. O modelo é treinado nos 21 dias anteriores dos logs de eventos de segurança do Windows.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Logs de segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso a credenciais |
| Técnicas MITRE ATT&CK: | T1110 - Força Bruta |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Tentativa de força bruta da conta de usuário por motivo de falha
Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por conta de utilizador por motivo de falha no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de segurança do Windows.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Logs de segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso a credenciais |
| Técnicas MITRE ATT&CK: | T1110 - Força Bruta |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Detetar o comportamento de balizamento de rede gerado pela máquina
Descrição: Este algoritmo identifica padrões de beaconing a partir de logs de conexão de tráfego de rede com base em padrões delta de tempo recorrente. Qualquer conexão de rede com redes públicas não confiáveis em deltas de tempo repetitivo é uma indicação de retornos de chamada de malware ou tentativas de exfiltração de dados. O algoritmo calculará o delta de tempo entre conexões de rede consecutivas entre o mesmo IP de origem e IP de destino, bem como o número de conexões em uma sequência de delta de tempo entre as mesmas fontes e destinos. A porcentagem de beaconing é calculada como as conexões na sequência tempo-delta em relação ao total de conexões em um dia.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | CommonSecurityLog (PAN) |
| Táticas MITRE ATT&CK: | Comando e Controlo |
| Técnicas MITRE ATT&CK: | T1071 - Protocolo da camada de aplicação T1132 - Codificação de Dados T1001 - Ofuscação de Dados T1568 - Resolução Dinâmica T1573 - Canal Criptografado T1008 - Canais de fallback T1104 - Canais Multi-Estágio T1095 - Protocolo de camada de não-aplicação T1571 - Porta não padronizada T1572 - Tunelamento de Protocolo T1090 - Procuração T1205 - Sinalização de Trânsito T1102 - Serviço Web |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Algoritmo de geração de domínio (DGA) em domínios DNS
Descrição: Este modelo de aprendizagem automática indica potenciais domínios DGA do dia anterior nos registos DNS. O algoritmo aplica-se a registos DNS que resolvem para endereços IPv4 e IPv6.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Eventos DNS |
| Táticas MITRE ATT&CK: | Comando e Controlo |
| Técnicas MITRE ATT&CK: | T1568 - Resolução Dinâmica |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Anomalia de Reputação de Domínio Palo Alto (DESCONTINUADO)
Descrição: Este algoritmo avalia a reputação de todos os domínios vistos especificamente nos logs do firewall Palo Alto (produto PAN-OS). Uma pontuação de anomalia alta indica uma baixa reputação, sugerindo que o domínio foi observado para hospedar conteúdo malicioso ou é provável que o faça.
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Anomalia excessiva de transferência de dados
Descrição: Este algoritmo deteta uma transferência de dados excepcionalmente alta observada em logs de rede. Ele usa séries temporais para decompor os dados em componentes sazonais, de tendência e residuais para calcular a linha de base. Qualquer grande desvio súbito em relação à linha de base histórica é considerado atividade anômala.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Táticas MITRE ATT&CK: | Exfiltração |
| Técnicas MITRE ATT&CK: | T1030 - Limites de tamanho de transferência de dados T1041 - Exfiltração pelo canal C2 T1011 - Exfiltração sobre outro meio de rede T1567 - Exfiltração sobre Web Service T1029 - Transferência Programada T1537 - Transferir dados para a conta na nuvem |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Downloads excessivos via Palo Alto GlobalProtect
Descrição: Este algoritmo deteta um volume anormalmente alto de download por conta de usuário através da solução Palo Alto VPN. O modelo é treinado nos 14 dias anteriores dos logs de VPN. Indica um elevado volume anómalo de downloads no último dia.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | CommonSecurityLog (PAN VPN) |
| Táticas MITRE ATT&CK: | Exfiltração |
| Técnicas MITRE ATT&CK: | T1030 - Limites de tamanho de transferência de dados T1041 - Exfiltração pelo canal C2 T1011 - Exfiltração sobre outro meio de rede T1567 - Exfiltração sobre Web Service T1029 - Transferência Programada T1537 - Transferir dados para a conta na nuvem |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Uploads excessivos via Palo Alto GlobalProtect
Descrição: Este algoritmo deteta um volume invulgarmente elevado de carregamento por conta de utilizador através da solução Palo Alto VPN. O modelo é treinado nos 14 dias anteriores dos logs de VPN. Isso indica um alto volume anômalo de upload no dia anterior.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | CommonSecurityLog (PAN VPN) |
| Táticas MITRE ATT&CK: | Exfiltração |
| Técnicas MITRE ATT&CK: | T1030 - Limites de tamanho de transferência de dados T1041 - Exfiltração pelo canal C2 T1011 - Exfiltração sobre outro meio de rede T1567 - Exfiltração sobre Web Service T1029 - Transferência Programada T1537 - Transferir dados para a conta na nuvem |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Faça login a partir de uma região incomum através de logins de conta Palo Alto GlobalProtect
Descrição: Quando uma conta do Palo Alto GlobalProtect entra a partir de uma região de origem da qual raramente foi iniciada sessão nos últimos 14 dias, é desencadeada uma anomalia. Esta anomalia pode indicar que a conta foi comprometida.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | CommonSecurityLog (PAN VPN) |
| Táticas MITRE ATT&CK: | Acesso a credenciais Acesso inicial Movimento Lateral |
| Técnicas MITRE ATT&CK: | T1133 - Serviços Remotos Externos |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Logins multi-região em um único dia via Palo Alto GlobalProtect (DESCONTINUADO)
Descrição: Este algoritmo deteta uma conta de utilizador que tinha início de sessão de várias regiões não adjacentes num único dia através de uma VPN de Palo Alto.
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Potencial preparo de dados
Descrição: Este algoritmo compara os downloads de arquivos distintos por usuário da semana anterior com os downloads do dia atual para cada usuário, e uma anomalia é acionada quando o número de downloads de arquivos distintos excede o número configurado de desvios padrão acima da média. Atualmente, o algoritmo analisa apenas arquivos comumente vistos durante a exfiltração de documentos, imagens, vídeos e arquivos com as extensões doc, docx, xls, xlsmonepdfpptxziprarpptxlsxjpgmp3bmpmp4e .mov
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Log de atividades do Office (Exchange) |
| Táticas MITRE ATT&CK: | Coleção |
| Técnicas MITRE ATT&CK: | T1074 - Dados Faseados |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Algoritmo de geração de domínio potencial (DGA) em domínios DNS de próximo nível
Descrição: este modelo de aprendizado de máquina indica os domínios de próximo nível (terceiro nível e superior) dos nomes de domínio do último dia de logs DNS que são incomuns. Eles podem ser potencialmente a saída de um algoritmo de geração de domínio (DGA). A anomalia aplica-se aos registos DNS que são resolvidos para endereços IPv4 e IPv6.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Eventos DNS |
| Táticas MITRE ATT&CK: | Comando e Controlo |
| Técnicas MITRE ATT&CK: | T1568 - Resolução Dinâmica |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Alteração de geografia suspeita nos logins da conta Palo Alto GlobalProtect
Descrição: uma correspondência indica que um utilizador iniciou sessão remotamente a partir de um país/região diferente do país/região do último início de sessão remoto do utilizador. Essa regra também pode indicar um comprometimento da conta, especialmente se as correspondências da regra ocorrerem de perto no tempo. Isso inclui o cenário de viagens impossíveis.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | CommonSecurityLog (PAN VPN) |
| Táticas MITRE ATT&CK: | Acesso inicial Acesso a credenciais |
| Técnicas MITRE ATT&CK: | T1133 - Serviços Remotos Externos T1078 - Contas Válidas |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Número suspeito de documentos protegidos acessados
Descrição: este algoritmo deteta um elevado volume de acesso a documentos protegidos nos registos da Proteção de Informações do Azure (AIP). Ele considera os registros de carga de trabalho do AIP por um determinado número de dias e determina se o usuário realizou acesso incomum a documentos protegidos em um determinado comportamento histórico.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Logs da Proteção de Informações do Azure |
| Táticas MITRE ATT&CK: | Coleção |
| Técnicas MITRE ATT&CK: | T1530 - Dados do objeto de armazenamento em nuvem T1213 - Dados de repositórios de informação T1005 - Dados do Sistema Local T1039 - Dados da unidade compartilhada de rede T1114 - Recolha de Email |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Volume suspeito de chamadas de API da AWS de endereços IP de origem que não são da AWS
Descrição: esse algoritmo deteta um volume anormalmente alto de chamadas de API da AWS por conta de usuário por espaço de trabalho, a partir de endereços IP de origem fora dos intervalos de IP de origem da AWS, no último dia. O modelo é treinado nos 21 dias anteriores de eventos de log do AWS CloudTrail por endereço IP de origem. Essa atividade pode indicar que a conta do usuário está comprometida.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Logs do AWS CloudTrail |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Volume suspeito de eventos de log do AWS CloudTrail da conta de usuário do grupo por EventTypeName
Descrição: esse algoritmo deteta um volume anormalmente alto de eventos por conta de usuário de grupo, por diferentes tipos de eventos (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction), em seu log do AWS CloudTrail no último dia. O modelo é treinado nos 21 dias anteriores de eventos de log do AWS CloudTrail por conta de usuário de grupo. Esta atividade pode indicar que a conta está comprometida.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Logs do AWS CloudTrail |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Volume suspeito de chamadas de API de gravação da AWS a partir de uma conta de usuário
Descrição: esse algoritmo deteta um volume anormalmente alto de chamadas de API de gravação da AWS por conta de usuário no último dia. O modelo é treinado nos 21 dias anteriores de eventos de log do AWS CloudTrail por conta de usuário. Esta atividade pode indicar que a conta está comprometida.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Logs do AWS CloudTrail |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Volume suspeito de tentativas de login com falha no Console AWS por cada conta de usuário do grupo
Descrição: esse algoritmo deteta um volume anormalmente alto de tentativas de login com falha no Console AWS por conta de usuário de grupo no log do AWS CloudTrail no último dia. O modelo é treinado nos 21 dias anteriores de eventos de log do AWS CloudTrail por conta de usuário de grupo. Esta atividade pode indicar que a conta está comprometida.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Logs do AWS CloudTrail |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Volume suspeito de tentativas de login com falha no Console AWS por cada endereço IP de origem
Descrição: esse algoritmo deteta um volume anormalmente alto de eventos de login com falha no Console AWS por endereço IP de origem no log do AWS CloudTrail no último dia. O modelo é treinado nos 21 dias anteriores de eventos de log do AWS CloudTrail por endereço IP de origem. Esta atividade pode indicar que o endereço IP está comprometido.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Logs do AWS CloudTrail |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Volume suspeito de logins no computador
Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) por computador no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de Segurança do Windows.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Logs de segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Volume suspeito de logins no computador com token elevado
Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) com privilégios administrativos, por computador, no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de Segurança do Windows.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Logs de segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Volume suspeito de logins na conta de usuário
Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) por conta de utilizador no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de Segurança do Windows.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Logs de segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Volume suspeito de logins na conta de usuário por tipos de logon
Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) por conta de utilizador, por diferentes tipos de início de sessão, no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de Segurança do Windows.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Logs de segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Volume suspeito de logins na conta de usuário com token elevado
Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) com privilégios administrativos, por conta de utilizador, no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de Segurança do Windows.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Logs de segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso inicial |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Alarme de firewall externo incomum detetado
Descrição: Este algoritmo identifica alarmes de firewall externos incomuns que são assinaturas de ameaça liberadas por um fornecedor de firewall. Ele usa as atividades dos últimos 7 dias para calcular as 10 assinaturas mais acionadas e os 10 hosts que dispararam mais assinaturas. Depois de excluir ambos os tipos de eventos ruidosos, ele aciona uma anomalia somente depois de exceder o limite para o número de assinaturas disparadas em um único dia.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | CommonSecurityLog (PAN) |
| Táticas MITRE ATT&CK: | Deteção Comando e Controlo |
| Técnicas MITRE ATT&CK: | Deteção: T1046 - Verificação de serviços de rede T1135 - Descoberta de compartilhamento de rede Comando e Controlo: T1071 - Protocolo da camada de aplicação T1095 - Protocolo de camada de não-aplicação T1571 - Porta não padronizada |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Rótulo AIP de downgrade de massa incomum
Descrição: esse algoritmo deteta um volume anormalmente alto de atividade de rótulo de downgrade nos logs da Proteção de Informações do Azure (AIP). Ele considera os registros de carga de trabalho "AIP" para um determinado número de dias e determina a sequência de atividade realizada em documentos, juntamente com o rótulo aplicado para classificar o volume incomum de atividade de downgrade.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | Logs da Proteção de Informações do Azure |
| Táticas MITRE ATT&CK: | Coleção |
| Técnicas MITRE ATT&CK: | T1530 - Dados do objeto de armazenamento em nuvem T1213 - Dados de repositórios de informação T1005 - Dados do Sistema Local T1039 - Dados da unidade compartilhada de rede T1114 - Recolha de Email |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Comunicação de rede incomum em portas comumente usadas
Descrição: Este algoritmo identifica comunicação de rede incomum em portas comumente usadas, comparando o tráfego diário com uma linha de base dos últimos 7 dias. Isso inclui o tráfego em portas comumente usadas (22, 53, 80, 443, 8080, 8888) e compara o tráfego diário com a média e o desvio padrão de vários atributos de tráfego de rede calculados durante o período de linha de base. Os atributos de tráfego considerados são eventos totais diários, transferência diária de dados e número de endereços IP de origem distintos por porta. Uma anomalia é desencadeada quando os valores diários são maiores do que o número configurado de desvios-padrão acima da média.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | CommonSecurityLog (PAN, Zscaler, Ponto de Verificação, Fortinet) |
| Táticas MITRE ATT&CK: | Comando e Controlo Exfiltração |
| Técnicas MITRE ATT&CK: | Comando e Controlo: T1071 - Protocolo da camada de aplicação Exfiltração: T1030 - Limites de tamanho de transferência de dados |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Anomalia de volume de rede incomum
Descrição: Este algoritmo deteta um volume anormalmente alto de conexões em logs de rede. Ele usa séries temporais para decompor os dados em componentes sazonais, de tendência e residuais para calcular a linha de base. Qualquer grande desvio súbito em relação à linha de base histórica é considerado como atividade anómala.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Táticas MITRE ATT&CK: | Exfiltração |
| Técnicas MITRE ATT&CK: | T1030 - Limites de tamanho de transferência de dados |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Tráfego da Web incomum detetado com IP no caminho do URL
Descrição: Este algoritmo identifica solicitações da Web incomuns listando um endereço IP como o host. O algoritmo encontra todas as solicitações da Web com endereços IP no caminho da URL e as compara com a semana anterior de dados para excluir o tráfego benigno conhecido. Depois de excluir o tráfego benigno conhecido, ele dispara uma anomalia somente depois de exceder certos limites com valores configurados, como total de solicitações da Web, número de URLs vistos com o mesmo endereço IP de destino do host e número de IPs de origem distintos dentro do conjunto de URLs com o mesmo endereço IP de destino. Esse tipo de solicitação pode indicar uma tentativa de ignorar os serviços de reputação de URL para fins maliciosos.
| Atributo | Value |
|---|---|
| Tipo de anomalia: | Aprendizagem automática personalizável |
| Origens de Dados: | CommonSecurityLog (PAN, Zscaler, Ponto de Verificação, Fortinet) |
| Táticas MITRE ATT&CK: | Comando e Controlo Acesso inicial |
| Técnicas MITRE ATT&CK: | Comando e Controlo: T1071 - Protocolo da camada de aplicação Acesso inicial: T1189 - Compromisso Drive-by |
Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo
Próximos passos
Saiba mais sobre anomalias geradas por aprendizado de máquina no Microsoft Sentinel.
Saiba como trabalhar com regras de anomalias.
Investigue incidentes com o Microsoft Sentinel.