Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Microsoft Sentinel deteta anomalias ao analisar o comportamento dos utilizadores num ambiente ao longo de um período de tempo e ao construir uma linha de base de atividade legítima. Assim que a linha base for estabelecida, qualquer atividade fora dos parâmetros normais é considerada anómalo e, portanto, suspeita.
Microsoft Sentinel utiliza dois modelos para criar linhas de base e detetar anomalias.
Este artigo lista as anomalias que Microsoft Sentinel deteta com vários modelos de machine learning.
Na tabela Anomalias :
- A
rulenamecoluna indica que a regra Sentinel utilizada para identificar cada anomalia. - A
scorecoluna contém um valor numérico entre 0 e 1, que quantifica o grau de desvio do comportamento esperado. As classificações mais altas indicam um maior desvio da linha de base e são mais prováveis de serem anomalias verdadeiras. As classificações mais baixas ainda podem ser anómalos, mas são menos prováveis de serem significativas ou acionáveis.
Nota
Estas deteções de anomalias são descontinuadas a partir de 8 de março de 2026, devido à baixa qualidade dos resultados:
- Algoritmo de geração de domínio (DGA) em domínios DNS
- Algoritmo de geração de domínio potencial (DGA) em Domínios DNS de nível seguinte
Comparar anomalias baseadas em UEBA e machine learning
As anomalias baseadas em UEBA e machine learning (ML) são abordagens complementares à deteção de anomalias. Ambos povoam a Anomalies tabela, mas servem diferentes finalidades:
| Aspeto | Anomalias da UEBA | Regras de deteção de anomalias de ML |
|---|---|---|
| Foco | Quem se comporta de forma invulgar | Que atividade é invulgar |
| Abordagem de deteção | Linhas de base comportamentais focadas na entidade em comparação com a atividade histórica, o comportamento do elemento da rede e os padrões em toda a organização | Modelos de regras personalizáveis com modelos estatísticos e de ML preparados em padrões de dados específicos |
| Origem da linha base | Histórico, grupo de pares e organização de cada entidade | Período de preparação (normalmente 7 a 21 dias) em tipos de eventos específicos |
| Personalização | Ativado/desativado com as definições de UEBA | Limiares e parâmetros atunáveis com a IU da regra de análise |
| Exemplos | Início de sessão anómalo, criação de conta anómalo, modificação de privilégio anómalo | Tentativa de força bruta, transferências excessivas, beaconing de rede |
Para mais informações, consulte:
Anomalias da UEBA
Sentinel UEBA deteta anomalias com base em linhas de base dinâmicas criadas para cada entidade em várias entradas de dados. O comportamento de linha de base de cada entidade é definido de acordo com as suas próprias atividades históricas, as dos seus pares e as da organização como um todo. As anomalias podem ser acionadas pela correlação de diferentes atributos, como o tipo de ação, geolocalização, dispositivo, recurso, ISP e muito mais.
Tem de ativar a UEBA e a deteção de anomalias na área de trabalho Sentinel para detetar anomalias da UEBA.
A UEBA deteta anomalias com base nestas regras de anomalias:
- Remoção anómalo do acesso à conta UEBA
- Criação de Conta Anómalo da UEBA
- Eliminação de Conta Anómala do UEBA
- Manipulação anómalo da conta UEBA
- Atividade Anómalo UEBA nos Registos de Auditoria do GCP
- Atividade Anómalo UEBA no Okta_CL
- Autenticação Anómalo UEBA
- Execução de Código Anómalo da UEBA
- Destruição de Dados Anómalos da UEBA
- Transferência de Dados Anómalos da UEBA do Amazon S3
- Modificação anómalo do mecanismo defensivo UEBA
- Início de Sessão Com Falhas Anómalos da UEBA
- Atividade de Identidade Federada ou SAML Anómalo da UEBA no AwsCloudTrail
- Modificação anómalo do Privilégio IAM da UEBA no AwsCloudTrail
- Início de Sessão Anómalo UEBA no AwsCloudTrail
- Falhas Anómalos da MFA do UEBA no Okta_CL
- Reposição anómalo de palavra-passe UEBA
- Privilégio Anómalo UEBA Concedido
- Segredo Anómalo da UEBA ou Acesso à Chave KMS no AwsCloudTrail
- Início de Sessão Anómalo da UEBA
- Comportamento AssumeRole do STS Anómalo da UEBA no AwsCloudTrail
Sentinel utiliza dados melhorados da tabela BehaviorAnalytics para identificar anomalias UEBA com uma classificação de confiança específica do seu inquilino e origem.
Remoção anómalo do acesso à conta UEBA
Descrição: Um atacante pode interromper a disponibilidade dos recursos de sistema e de rede ao bloquear o acesso a contas utilizadas por utilizadores legítimos. O atacante pode eliminar, bloquear ou manipular uma conta (por exemplo, alterando as respetivas credenciais) para remover o acesso à mesma.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Azure Registos de atividades |
| MITRE ATT&táticas CK: | Impacto |
| MITRE ATT&técnicas CK: | T1531 – Remoção de Acesso à Conta |
| Atividade: | Microsoft.Authorization/roleAssignments/delete Terminar Sessão |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Criação de Conta Anómalo da UEBA
Descrição: Os adversários podem criar uma conta para manter o acesso aos sistemas visados. Com um nível de acesso suficiente, a criação dessas contas pode ser utilizada para estabelecer acesso credencial secundário sem que sejam implementadas ferramentas de acesso remoto persistentes no sistema.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Microsoft Entra registos de auditoria |
| MITRE ATT&táticas CK: | Persistência |
| MITRE ATT&técnicas CK: | T1136 - Criar Conta |
| Sub-técnicas MITRE ATT&CK: | Conta na Cloud |
| Atividade: | Diretório Principal/UserManagement/Adicionar utilizador |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Eliminação de Conta Anómala do UEBA
Descrição: Os adversários podem interromper a disponibilidade dos recursos do sistema e da rede ao inibir o acesso a contas utilizadas por utilizadores legítimos. As contas podem ser eliminadas, bloqueadas ou manipuladas (por exemplo, credenciais alteradas) para remover o acesso às contas.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Microsoft Entra registos de auditoria |
| MITRE ATT&táticas CK: | Impacto |
| MITRE ATT&técnicas CK: | T1531 – Remoção de Acesso à Conta |
| Atividade: | Diretório Principal/UserManagement/Eliminar utilizador Diretório Principal/Dispositivo/Eliminar utilizador Diretório Principal/UserManagement/Eliminar utilizador |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Manipulação anómalo da conta UEBA
Descrição: Os adversários podem manipular contas para manter o acesso aos sistemas de destino. Estas ações incluem a adição de novas contas a grupos com privilégios elevados. A Dragonfly 2.0, por exemplo, adicionou contas recentemente criadas ao grupo de administradores para manter o acesso elevado. A consulta abaixo gera uma saída de todos os utilizadores do Raio de Alta Explosão que executam "Atualizar utilizador" (alteração de nome) para função com privilégios ou que alteraram os utilizadores pela primeira vez.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Microsoft Entra registos de auditoria |
| MITRE ATT&táticas CK: | Persistência |
| MITRE ATT&técnicas CK: | T1098 – Manipulação de Conta |
| Atividade: | Diretório Principal/UserManagement/Atualizar utilizador |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Atividade Anómalo UEBA nos Registos de Auditoria do GCP
Descrição: Tentativas de acesso falhadas aos recursos do Google Cloud Platform (GCP) com base em entradas relacionadas com IAM nos Registos de Auditoria do GCP. Estas falhas podem refletir permissões configuradas incorretamente, tentativas de acesso a serviços não autorizados ou comportamentos de atacantes em fase inicial, como pesquisa de privilégios ou persistência através de contas de serviço.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Registos de Auditoria do GCP |
| MITRE ATT&táticas CK: | Deteção |
| MITRE ATT&técnicas CK: | T1087 – Deteção de Contas, T1069 – Deteção de Grupos de Permissões |
| Atividade: | iam.googleapis.com |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Atividade Anómalo UEBA no Okta_CL
Descrição: Atividades de autenticação inesperadas ou alterações de configuração relacionadas com segurança no Okta, incluindo modificações às regras de início de sessão, imposição de autenticação multifator (MFA) ou privilégios administrativos. Essa atividade pode indicar tentativas de alterar controlos de segurança de identidade ou manter o acesso através de alterações com privilégios.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Registos da Okta Cloud |
| MITRE ATT&táticas CK: | Persistência, Escalamento de Privilégios |
| MITRE ATT&técnicas CK: | T1098 - Manipulação de Conta, T1556 - Modificar Processo de Autenticação |
| Atividade: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Autenticação Anómalo UEBA
Descrição: Atividade de autenticação invulgar em sinais de Microsoft Defender para Endpoint e Microsoft Entra ID, incluindo inícios de sessão de dispositivos, inícios de sessão de identidade gerida e autenticações do principal de serviço de Microsoft Entra ID. Estas anomalias podem sugerir utilização indevida de credenciais, abuso de identidade não humana ou tentativas de movimento lateral fora dos padrões de acesso típicos.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Microsoft Defender para Endpoint, Microsoft Entra ID |
| MITRE ATT&táticas CK: | Acesso Inicial |
| MITRE ATT&técnicas CK: | T1078 - Contas Válidas |
| Atividade: |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Execução de Código Anómalo da UEBA
Descrição: Os adversários podem abusar dos intérpretes de comandos e scripts para executar comandos, scripts ou binários. Estas interfaces e idiomas fornecem formas de interagir com sistemas informáticos e são uma funcionalidade comum em várias plataformas diferentes.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Azure Registos de atividades |
| MITRE ATT&táticas CK: | Execução |
| MITRE ATT&técnicas CK: | T1059 – Intérprete de Comandos e Scripts |
| Sub-técnicas MITRE ATT&CK: | PowerShell |
| Atividade: | Microsoft.Compute/virtualMachines/runCommand/action |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Destruição de Dados Anómalos da UEBA
Descrição: Os adversários podem destruir dados e ficheiros em sistemas específicos ou em grande número numa rede para interromper a disponibilidade para sistemas, serviços e recursos de rede. A destruição de dados é susceptível de tornar os dados armazenados irrecuperáveis por técnicas forenses através da substituição de ficheiros ou dados em unidades locais e remotas.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Azure Registos de atividades |
| MITRE ATT&táticas CK: | Impacto |
| MITRE ATT&técnicas CK: | T1485 – Destruição de Dados |
| Atividade: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Transferência de Dados Anómalos da UEBA do Amazon S3
Descrição: Desvios nos padrões de acesso ou transferência de dados do Amazon Simple Storage Service (S3). A anomalia é determinada através de linhas de base comportamentais para cada utilizador, serviço e recurso, comparando o volume de transferência de dados, a frequência e a contagem de objetos acedidos com as normas históricas. Desvios significativos , como o acesso em massa pela primeira vez, obtenções de dados invulgarmente grandes ou atividade de novas localizações ou aplicações, podem indicar potenciais exfiltrações de dados, violações de políticas ou utilização indevida de credenciais comprometidas.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Registos do CloudTrail do AWS |
| MITRE ATT&táticas CK: | Exfiltração |
| MITRE ATT&técnicas CK: | T1567 - Exfiltração através do Serviço Web |
| Atividade: | PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Modificação anómalo do mecanismo defensivo UEBA
Descrição: Os adversários podem desativar as ferramentas de segurança para evitar uma possível deteção das suas ferramentas e atividades.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Azure Registos de atividades |
| MITRE ATT&táticas CK: | Evasão à Defesa |
| MITRE ATT&técnicas CK: | T1562 – Defesas com Deficiência |
| Sub-técnicas MITRE ATT&CK: | Desativar ou Modificar Ferramentas Desativar ou Modificar a Firewall da Cloud |
| Atividade: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Início de Sessão Com Falhas Anómalos da UEBA
Descrição: Os adversários sem conhecimento prévio de credenciais legítimas dentro do sistema ou ambiente podem adivinhar palavras-passe para tentar aceder a contas.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Microsoft Entra registos de início de sessão Segurança do Windows registos |
| MITRE ATT&táticas CK: | Acesso a Credenciais |
| MITRE ATT&técnicas CK: | T1110 - Força Bruta |
| Atividade: |
Microsoft Entra ID: Atividade de início de sessão Segurança do Windows: Início de sessão com falha (ID do Evento 4625) |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Atividade de Identidade Federada ou SAML Anómalo da UEBA no AwsCloudTrail
Descrição: Atividade invulgar por identidades baseadas em Linguagem saml (Security Assertion Markup Language) federada ou segurança que envolvem ações pela primeira vez, localizações geográficas desconhecidas ou chamadas excessivas à API. Tais anomalias podem indicar o sequestro de sessão ou a utilização indevida de credenciais federadas.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Registos do CloudTrail do AWS |
| MITRE ATT&táticas CK: | Acesso Inicial, Persistência |
| MITRE ATT&técnicas CK: | T1078 – Contas válidas, T1550 – Utilizar Material de Autenticação Alternativo |
| Atividade: | UserAuthentication (EXTERNAL_IDP) |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Modificação anómalo do Privilégio IAM da UEBA no AwsCloudTrail
Descrição: Desvios no comportamento administrativo da Gestão de Identidades e Acessos (IAM), como a criação, modificação ou eliminação de funções, utilizadores e grupos pela primeira vez ou anexo de novas políticas inline ou geridas. Estes podem indicar um escalamento de privilégios ou abuso de políticas.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Registos do CloudTrail do AWS |
| MITRE ATT&táticas CK: | Escalamento de Privilégios, Persistência |
| MITRE ATT&técnicas CK: | T1136 - Criar Conta, T1098 - Manipulação de Conta |
| Atividade: | Criar, Adicionar, Anexar, Eliminar, Desativar, Colocar e Atualizar operações no iam.amazonaws.com, sso-directory.amazonaws.com |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Início de Sessão Anómalo UEBA no AwsCloudTrail
Descrição: Atividade de início de sessão invulgar nos serviços Amazon Web Services (AWS) com base em eventos CloudTrail, como ConsoleLogin e outros atributos relacionados com a autenticação. As anomalias são determinadas por desvios no comportamento do utilizador com base em atributos como geolocalização, impressão digital do dispositivo, ISP e método de acesso, e podem indicar tentativas de acesso não autorizado ou potenciais violações de política.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Registos do CloudTrail do AWS |
| MITRE ATT&táticas CK: | Acesso Inicial |
| MITRE ATT&técnicas CK: | T1078 - Contas Válidas |
| Atividade: | ConsoleLogin |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Falhas Anómalos da MFA do UEBA no Okta_CL
Descrição: Padrões invulgares de tentativas de MFA falhadas no Okta. Estas anomalias podem resultar de utilização indevida da conta, do recheio de credenciais ou da utilização incorreta de mecanismos de dispositivo fidedignos e, muitas vezes, refletem comportamentos adversários de fase inicial, como testar credenciais roubadas ou sondar salvaguardas de identidade.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Registos da Okta Cloud |
| MITRE ATT&táticas CK: | Persistência, Escalamento de Privilégios |
| MITRE ATT&técnicas CK: | T1078 - Contas Válidas, T1556 - Modificar Processo de Autenticação |
| Atividade: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Reposição anómalo de palavra-passe UEBA
Descrição: Os adversários podem interromper a disponibilidade dos recursos do sistema e da rede ao inibir o acesso a contas utilizadas por utilizadores legítimos. As contas podem ser eliminadas, bloqueadas ou manipuladas (por exemplo, credenciais alteradas) para remover o acesso às contas.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Microsoft Entra registos de auditoria |
| MITRE ATT&táticas CK: | Impacto |
| MITRE ATT&técnicas CK: | T1531 – Remoção de Acesso à Conta |
| Atividade: | Diretório Principal/UserManagement/Reposição de palavra-passe de utilizador |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Privilégio Anómalo UEBA Concedido
Descrição: Os adversários podem adicionar credenciais controladas por adversários para Azure Principais de Serviço, além das credenciais legítimas existentes para manter o acesso persistente às contas de Azure da vítima.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Microsoft Entra registos de auditoria |
| MITRE ATT&táticas CK: | Persistência |
| MITRE ATT&técnicas CK: | T1098 – Manipulação de Conta |
| Sub-técnicas MITRE ATT&CK: | Credenciais adicionais do Principal de Serviço Azure |
| Atividade: | Aprovisionamento de contas/Gestão de Aplicações/Adicionar atribuição de função de aplicação ao principal de serviço |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Segredo Anómalo da UEBA ou Acesso à Chave KMS no AwsCloudTrail
Descrição: Acesso suspeito aos recursos do Gestor de Segredos do AWS ou do Serviço de Gestão de Chaves (KMS). O acesso pela primeira vez ou uma frequência de acesso invulgarmente elevada pode indicar a recolha de credenciais ou tentativas de transferência de dados não autorizadas.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Registos do CloudTrail do AWS |
| MITRE ATT&táticas CK: | Acesso a Credenciais, Coleção |
| MITRE ATT&técnicas CK: | T1555 – Credenciais dos Arquivos de Palavras-passe |
| Atividade: | GetSecretValue BatchGetSecretValue ListKeys ListSecrets PutSecretValue CriarSecret UpdateSecret DeleteSecret CreateKey PutKeyPolicy |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Início de Sessão Anómalo da UEBA
Descrição: Os adversários podem roubar as credenciais de uma conta de utilizador ou serviço específica com técnicas de Acesso a Credenciais ou capturar credenciais mais cedo no processo de reconhecimento através da engenharia social para obter persistência.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Microsoft Entra registos de início de sessão Segurança do Windows registos |
| MITRE ATT&táticas CK: | Persistência |
| MITRE ATT&técnicas CK: | T1078 - Contas Válidas |
| Atividade: |
Microsoft Entra ID: Atividade de início de sessão Segurança do Windows: Início de sessão com êxito (ID do Evento 4624) |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Comportamento AssumeRole do STS Anómalo da UEBA no AwsCloudTrail
Descrição: A utilização anómalo do Serviço de Tokens de Segurança (STS) do AWS assume ações doRole, especialmente envolvendo funções privilegiadas ou acesso entre contas. Os desvios da utilização típica podem indicar um escalamento de privilégios ou um compromisso de identidade.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | UEBA |
| Origens de dados: | Registos do CloudTrail do AWS |
| MITRE ATT&táticas CK: | Escalamento de Privilégios, Evasão à Defesa |
| MITRE ATT&técnicas CK: | T1548 – Mecanismo de Controlo de Elevação de Abuso, T1078 – Contas Válidas |
| Atividade: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity AssumeRoot |
Voltar à lista | de anomalias do UEBAVoltar ao topo
Anomalias baseadas na aprendizagem automática
Microsoft Sentinel anomalias personalizáveis baseadas em machine learning podem identificar comportamentos anómalos com modelos de regras de análise que podem ser colocados para funcionar imediatamente. Embora as anomalias não indiquem necessariamente comportamentos maliciosos ou mesmo suspeitos por si só, podem ser utilizadas para melhorar deteções, investigações e investigação de ameaças.
- Operações anómalos de Azure
- Execução de Código Anómalo
- Criação de conta local anómalo
- Atividades anómalas do utilizador no Office Exchange
- Tentativa de força bruta do computador
- Força bruta da conta de utilizador tentada
- Tentativa de força bruta da conta de utilizador por tipo de início de sessão
- Tentativa de força bruta da conta de utilizador por motivo de falha
- Detetar o comportamento de beaconing de rede gerado pela máquina
- Algoritmo de geração de domínio (DGA) em domínios DNS
- Transferências Excessivas via Palo Alto GlobalProtect
- Carregamentos excessivos via Palo Alto GlobalProtect
- Algoritmo de geração de domínio potencial (DGA) em Domínios DNS de nível seguinte
- Volume suspeito de chamadas à API do AWS a partir do endereço IP de origem não AWS
- Volume suspeito de chamadas à API de escrita do AWS a partir de uma conta de utilizador
- Volume suspeito de inícios de sessão no computador
- Volume suspeito de inícios de sessão no computador com token elevado
- Volume suspeito de inícios de sessão na conta de utilizador
- Volume suspeito de inícios de sessão na conta de utilizador por tipos de início de sessão
- Volume suspeito de inícios de sessão na conta de utilizador com token elevado
Operações anómalos de Azure
Descrição: Este algoritmo de deteção recolhe dados no valor de 21 dias sobre Azure operações agrupadas por utilizador para preparar este modelo de ML. Em seguida, o algoritmo gera anomalias no caso de utilizadores que realizaram sequências de operações invulgares nas respetivas áreas de trabalho. O modelo de ML preparado classifica as operações executadas pelo utilizador e considera anómalos aqueles cuja classificação é superior ao limiar definido.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | Azure Registos de atividades |
| MITRE ATT&táticas CK: | Acesso Inicial |
| MITRE ATT&técnicas CK: | T1190 – Exploit Public-Facing Application |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Execução de Código Anómalo
Descrição: Os atacantes podem abusar de intérpretes de comandos e scripts para executar comandos, scripts ou binários. Estas interfaces e idiomas fornecem formas de interagir com sistemas informáticos e são uma funcionalidade comum em várias plataformas diferentes.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | Azure Registos de atividades |
| MITRE ATT&táticas CK: | Execução |
| MITRE ATT&técnicas CK: | T1059 – Intérprete de Comandos e Scripts |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Criação de conta local anómalo
Descrição: Este algoritmo deteta a criação anómalo de contas locais em sistemas Windows. Os atacantes podem criar contas locais para manter o acesso aos sistemas visados. Este algoritmo analisa a atividade de criação de conta local nos 14 dias anteriores pelos utilizadores. Procura atividades semelhantes no dia atual de utilizadores que não eram vistos anteriormente na atividade histórica. Pode especificar uma lista de permissões para filtrar os utilizadores conhecidos de acionar esta anomalia.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | Segurança do Windows registos |
| MITRE ATT&táticas CK: | Persistência |
| MITRE ATT&técnicas CK: | T1136 - Criar Conta |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Atividades anómalas do utilizador no Office Exchange
Descrição: Este modelo de machine learning agrupa os registos do Office Exchange por utilizador em registos por hora. Definimos uma hora como uma sessão. O modelo é preparado nos 7 dias anteriores de comportamento em todos os utilizadores regulares (não administradores). Indica sessões anómalos do Office Exchange no último dia.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | Registo de Atividades do Office (Exchange) |
| MITRE ATT&táticas CK: | Persistência Coleção |
| MITRE ATT&técnicas CK: |
Coleção: T1114 - Coleção de Email T1213 – Dados dos Repositórios de Informações Persistência: T1098 – Manipulação de Conta T1136 - Criar Conta T1137 – Arranque da Aplicação do Office T1505 - Componente de Software do Servidor |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Tentativa de força bruta do computador
Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por computador no último dia. O modelo é preparado nos 21 dias anteriores dos registos de eventos de segurança do Windows.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | Segurança do Windows registos |
| MITRE ATT&táticas CK: | Acesso a Credenciais |
| MITRE ATT&técnicas CK: | T1110 - Força Bruta |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Força bruta da conta de utilizador tentada
Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por conta de utilizador no último dia. O modelo é preparado nos 21 dias anteriores dos registos de eventos de segurança do Windows.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | Segurança do Windows registos |
| MITRE ATT&táticas CK: | Acesso a Credenciais |
| MITRE ATT&técnicas CK: | T1110 - Força Bruta |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Tentativa de força bruta da conta de utilizador por tipo de início de sessão
Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por conta de utilizador por tipo de início de sessão no último dia. O modelo é preparado nos 21 dias anteriores dos registos de eventos de segurança do Windows.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | Segurança do Windows registos |
| MITRE ATT&táticas CK: | Acesso a Credenciais |
| MITRE ATT&técnicas CK: | T1110 - Força Bruta |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Tentativa de força bruta da conta de utilizador por motivo de falha
Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por conta de utilizador por motivo de falha no último dia. O modelo é preparado nos 21 dias anteriores dos registos de eventos de segurança do Windows.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | Segurança do Windows registos |
| MITRE ATT&táticas CK: | Acesso a Credenciais |
| MITRE ATT&técnicas CK: | T1110 - Força Bruta |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Detetar o comportamento de beaconing de rede gerado pela máquina
Descrição: Este algoritmo identifica padrões de beaconing dos registos de ligação de tráfego de rede com base em padrões de diferença de tempo recorrentes. Qualquer ligação de rede para redes públicas não fidedignas em diferenças de tempo repetitivas é uma indicação de chamadas de retorno de software maligno ou tentativas de transferência de dados não autorizadas. O algoritmo calculará o intervalo de tempo entre ligações de rede consecutivas entre o mesmo IP de origem e o IP de destino, bem como o número de ligações numa sequência de intervalo de tempo entre as mesmas origens e destinos. A percentagem de beaconing é calculada como as ligações na sequência de diferença de tempo em relação ao total de ligações num dia.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | CommonSecurityLog (PAN) |
| MITRE ATT&táticas CK: | Comando e Controlo |
| MITRE ATT&técnicas CK: | T1071 - Application Layer Protocol T1132 - Codificação de Dados T1001 – Obfuscation de Dados T1568 – Resolução Dinâmica T1573 - Canal Encriptado T1008 – Canais de Contingência T1104 - Canais em Várias Fases T1095 – Protocolo de Camada Não Aplicacional T1571 - Porta Não Padrão T1572 – Túnel de Protocolo T1090 - Proxy T1205 – Sinalização de Tráfego T1102 - Serviço Web |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Algoritmo de geração de domínio (DGA) em domínios DNS
Descrição: Este modelo de machine learning indica potenciais domínios DGA do dia anterior nos registos DNS. O algoritmo aplica-se aos registos DNS que resolvem os endereços IPv4 e IPv6.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | Eventos DNS |
| MITRE ATT&táticas CK: | Comando e Controlo |
| MITRE ATT&técnicas CK: | T1568 – Resolução Dinâmica |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Transferências Excessivas via Palo Alto GlobalProtect
Descrição: Este algoritmo deteta um volume invulgarmente elevado de transferência por conta de utilizador através da solução VPN Palo Alto. O modelo é preparado nos 14 dias anteriores dos registos VPN. Indica um volume anómalo elevado de transferências no último dia.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | CommonSecurityLog (VPN DO PAN) |
| MITRE ATT&táticas CK: | Exfiltração |
| MITRE ATT&técnicas CK: | T1030 – Limites de Tamanho da Transferência de Dados T1041 - Exfiltração através do Canal C2 T1011 - Exfiltração através de outro meio de rede T1567 - Exfiltração através do Serviço Web T1029 – Transferência Agendada T1537 – Transferir Dados para a Conta na Cloud |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Carregamentos excessivos via Palo Alto GlobalProtect
Descrição: Este algoritmo deteta um volume invulgarmente elevado de carregamento por conta de utilizador através da solução VPN Palo Alto. O modelo é preparado nos 14 dias anteriores dos registos VPN. Indica um volume anómalo de carregamento elevado no último dia.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | CommonSecurityLog (VPN DO PAN) |
| MITRE ATT&táticas CK: | Exfiltração |
| MITRE ATT&técnicas CK: | T1030 – Limites de Tamanho da Transferência de Dados T1041 - Exfiltração através do Canal C2 T1011 - Exfiltração através de outro meio de rede T1567 - Exfiltração através do Serviço Web T1029 – Transferência Agendada T1537 – Transferir Dados para a Conta na Cloud |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Algoritmo de geração de domínio potencial (DGA) em Domínios DNS de nível seguinte
Descrição: Este modelo de machine learning indica os domínios de nível seguinte (terceiro nível e superior) dos nomes de domínio do último dia de registos DNS que são invulgares. Podem potencialmente ser a saída de um algoritmo de geração de domínio (DGA). A anomalia aplica-se aos registos DNS que resolvem os endereços IPv4 e IPv6.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | Eventos DNS |
| MITRE ATT&táticas CK: | Comando e Controlo |
| MITRE ATT&técnicas CK: | T1568 – Resolução Dinâmica |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Volume suspeito de chamadas à API do AWS a partir do endereço IP de origem não AWS
Descrição: Este algoritmo deteta um volume invulgarmente elevado de chamadas à API do AWS por conta de utilizador por área de trabalho, a partir de endereços IP de origem fora dos intervalos de IP de origem do AWS, no último dia. O modelo é preparado nos 21 dias anteriores dos eventos de registo do CloudTrail do AWS por endereço IP de origem. Esta atividade pode indicar que a conta de utilizador está comprometida.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | Registos do CloudTrail do AWS |
| MITRE ATT&táticas CK: | Acesso Inicial |
| MITRE ATT&técnicas CK: | T1078 - Contas Válidas |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Volume suspeito de chamadas à API de escrita do AWS a partir de uma conta de utilizador
Descrição: Este algoritmo deteta um volume invulgarmente elevado de chamadas à API de escrita do AWS por conta de utilizador no último dia. O modelo é preparado nos 21 dias anteriores dos eventos de registo do CloudTrail do AWS por conta de utilizador. Esta atividade pode indicar que a conta está comprometida.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | Registos do CloudTrail do AWS |
| MITRE ATT&táticas CK: | Acesso Inicial |
| MITRE ATT&técnicas CK: | T1078 - Contas Válidas |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Volume suspeito de inícios de sessão no computador
Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) por computador no último dia. O modelo é preparado nos 21 dias anteriores do Segurança do Windows registos de eventos.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | Segurança do Windows registos |
| MITRE ATT&táticas CK: | Acesso Inicial |
| MITRE ATT&técnicas CK: | T1078 - Contas Válidas |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Volume suspeito de inícios de sessão no computador com token elevado
Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) com privilégios administrativos, por computador, durante o último dia. O modelo é preparado nos 21 dias anteriores do Segurança do Windows registos de eventos.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | Segurança do Windows registos |
| MITRE ATT&táticas CK: | Acesso Inicial |
| MITRE ATT&técnicas CK: | T1078 - Contas Válidas |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Volume suspeito de inícios de sessão na conta de utilizador
Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID do evento de segurança 4624) por conta de utilizador no último dia. O modelo é preparado nos 21 dias anteriores do Segurança do Windows registos de eventos.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | Segurança do Windows registos |
| MITRE ATT&táticas CK: | Acesso Inicial |
| MITRE ATT&técnicas CK: | T1078 - Contas Válidas |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Volume suspeito de inícios de sessão na conta de utilizador por tipos de início de sessão
Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) por conta de utilizador, por diferentes tipos de início de sessão, ao longo do último dia. O modelo é preparado nos 21 dias anteriores do Segurança do Windows registos de eventos.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | Segurança do Windows registos |
| MITRE ATT&táticas CK: | Acesso Inicial |
| MITRE ATT&técnicas CK: | T1078 - Contas Válidas |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Volume suspeito de inícios de sessão na conta de utilizador com token elevado
Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão com êxito (ID de evento de segurança 4624) com privilégios administrativos, por conta de utilizador, durante o último dia. O modelo é preparado nos 21 dias anteriores do Segurança do Windows registos de eventos.
| Atributo | Valor |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Origens de dados: | Segurança do Windows registos |
| MITRE ATT&táticas CK: | Acesso Inicial |
| MITRE ATT&técnicas CK: | T1078 - Contas Válidas |
Voltar à lista | de anomalias baseadas no Machine LearningVoltar ao topo
Passos seguintes
- Saiba mais sobre anomalias geradas pelo machine learning no Microsoft Sentinel.
- Saiba como trabalhar com regras de anomalias.
- Investigar incidentes com Microsoft Sentinel.