Аномалии, обнаруженные модулем машинного обучения Microsoft Sentinel
В этой статье перечислены аномалии, которые Microsoft Sentinel обнаруживает с помощью разных моделей машинного обучения.
Обнаружение аномалий работает путем анализа поведения пользователей в среде за некоторый период времени и определения базового уровня допустимых действий. Как только базовый уровень будет установлен, любые действия за пределами нормальных параметров считаются аномальными и, следовательно, подозрительными.
Microsoft Sentinel использует две разные модели для создания базового плана и обнаружения аномалий.
Примечание.
Следующие обнаружения аномалий прекращены с 26 марта 2024 г. из-за низкого качества результатов:
- Аномалия Palo Alto репутации домена
- Входы из нескольких регионов за один день через Palo Alto GlobalProtect
Внимание
Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Аномалии UEBA
Sentinel UEBA обнаруживает аномалии на основе динамического базового плана, созданного для каждой сущности в разных входных данных. Базовое поведение каждой сущности устанавливается в соответствии с ее предыдущими действиями, действиями его коллег и организацией в целом. Аномалии могут быть вызваны корреляцией различных атрибутов, таких как тип действия, географическое положение, устройство, ресурс, поставщик услуг Интернета и т. д.
Вам нужно включить функцию UEBA для обнаружения аномалий UEBA.
- Аномальный отзыв доступа к учетной записи
- Аномальное создание учетной записи
- Аномальное удаление учетной записи
- Аномальные операции с учетной записью
- Аномальное выполнение кода (UEBA)
- Аномальное уничтожение данных
- Аномальное изменение защитного механизма
- Аномальный сбой входа
- Аномальный сброс пароля
- Аномальное предоставление привилегий
- Аномальная попытка входа
Аномальный отзыв доступа к учетной записи
Описание. Злоумышленник может нарушить доступность системных и сетевых ресурсов, заблокировав доступ к учетным записям, которые используются законными пользователями. Злоумышленник может удалить, заблокировать или изменить учетную запись (например, изменить учетные данные), чтобы отозвать доступ.
| Атрибут | Значение |
|---|---|
| Тип аномалии | UEBA |
| Источники данных | Журналы действий Azure |
| Тактика MITRE ATT&CK: | Воздействие |
| Методы MITRE ATT&CK: | T1531 — отзыв доступа к учетной записи |
| Действие | Microsoft.Authorization/roleAssignments/delete Выйти |
Вернуться к списку аномалий | UEBA Назад в начало
Аномальное создание учетной записи
Описание. Злоумышленники могут создать учетную запись для сохранения доступа к целевым системам. При достаточном уровне доступа создание таких учетных записей может использоваться для установления вторичного доступа с учетными данными без необходимости развертывания в системе постоянных инструментов удаленного доступа.
| Атрибут | Значение |
|---|---|
| Тип аномалии | UEBA |
| Источники данных | Журналы аудита Microsoft Entra |
| Тактика MITRE ATT&CK: | Сохраняемость |
| Методы MITRE ATT&CK: | T1136 — создание учетной записи |
| Вспомогательные методы MITRE ATT&CK: | Облачная учетная запись |
| Действие | Основной каталог, управление пользователем, добавление пользователя |
Вернуться к списку аномалий | UEBA Назад в начало
Аномальное удаление учетной записи
Описание. Злоумышленники могут нарушить доступность системных и сетевых ресурсов, препятствуя доступу к учетным записям, используемым законными пользователями. Учетные записи могут быть удалены, заблокированы или изменены (например, изменены учетные данные) для отзыва доступа к учетным записям.
| Атрибут | Значение |
|---|---|
| Тип аномалии | UEBA |
| Источники данных | Журналы аудита Microsoft Entra |
| Тактика MITRE ATT&CK: | Воздействие |
| Методы MITRE ATT&CK: | T1531 — отзыв доступа к учетной записи |
| Действие | Основной каталог, управление пользователем, удаление пользователя Основной каталог, устройство, удаление пользователя Основной каталог, управление пользователем, удаление пользователя |
Вернуться к списку аномалий | UEBA Назад в начало
Аномальные операции с учетной записью
Описание. Злоумышленники могут выполнять операции с учетными записями, чтобы сохранить доступ к целевым системам. Эти действия включают добавление новых учетных записей в группы с высоким уровнем привилегий. В Dragonfly 2.0, например, добавлены новые учетные записи в группу администраторов для сохранения повышенного доступа. Приведенный ниже запрос генерирует выходные данные всех пользователей с большим радиусом воздействия, выполняющих операцию "Обновить пользователя" (изменение имени) для привилегированной роли, или тех, кто изменил пользователей в первый раз.
| Атрибут | Значение |
|---|---|
| Тип аномалии | UEBA |
| Источники данных | Журналы аудита Microsoft Entra |
| Тактика MITRE ATT&CK: | Сохраняемость |
| Методы MITRE ATT&CK: | T1098 — операции с учетной записью |
| Действие | Основной каталог, управление пользователем, обновление пользователя |
Вернуться к списку аномалий | UEBA Назад в начало
Аномальное выполнение кода (UEBA)
Описание. Злоумышленники могут злоупотреблять интерпретаторами команд и скриптов для выполнения команд, скриптов или двоичных файлов. Эти интерфейсы и языки обеспечивают способы взаимодействия с компьютерными системами и представляют общие возможности на разных платформах.
| Атрибут | Значение |
|---|---|
| Тип аномалии | UEBA |
| Источники данных | Журналы действий Azure |
| Тактика MITRE ATT&CK: | Выполнение |
| Методы MITRE ATT&CK: | T1059 — интерпретатор команд и скриптов |
| Вспомогательные методы MITRE ATT&CK: | PowerShell |
| Действие | Microsoft.Compute/virtualMachines/runCommand/action |
Вернуться к списку аномалий | UEBA Назад в начало
Аномальное уничтожение данных
Описание. Злоумышленники могут уничтожить данные и файлы в определенных системах или в больших количествах в сети, чтобы отозвать доступ к системам, службам и сетевым ресурсам. Уничтожение данных может привести к тому, что сохраненные данные нельзя будет восстановить с помощью методов судебной экспертизы путем перезаписи файлов или данных на локальных и удаленных дисках.
| Атрибут | Значение |
|---|---|
| Тип аномалии | UEBA |
| Источники данных | Журналы действий Azure |
| Тактика MITRE ATT&CK: | Воздействие |
| Методы MITRE ATT&CK: | T1485 — уничтожение данных |
| Действие | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Вернуться к списку аномалий | UEBA Назад в начало
Аномальное изменение защитного механизма
Описание. Злоумышленники могут отключить инструменты безопасности, чтобы избежать возможного обнаружения их инструментов и действий.
| Атрибут | Значение |
|---|---|
| Тип аномалии | UEBA |
| Источники данных | Журналы действий Azure |
| Тактика MITRE ATT&CK: | Уклонение от защиты |
| Методы MITRE ATT&CK: | T1562 — нарушение защиты |
| Вспомогательные методы MITRE ATT&CK: | Отключение или изменение средств Отключение или изменение облачного брандмауэра |
| Действие | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Вернуться к списку аномалий | UEBA Назад в начало
Аномальный сбой входа
Описание. Злоумышленники без законных учетных данных в системе или среде могут подобрать пароли, чтобы попытаться получить доступ к учетным записям.
| Атрибут | Значение |
|---|---|
| Тип аномалии | UEBA |
| Источники данных | Журналы входов Microsoft Entra Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Доступ к четным данным |
| Методы MITRE ATT&CK: | T1110 — метод перебора |
| Действие | Идентификатор Microsoft Entra: действие входа Безопасность Windows: сбой попытки входа (идентификатор события 4625) |
Вернуться к списку аномалий | UEBA Назад в начало
Аномальный сброс пароля
Описание. Злоумышленники могут нарушить доступность системных и сетевых ресурсов, препятствуя доступу к учетным записям, используемым законными пользователями. Учетные записи могут быть удалены, заблокированы или изменены (например, изменены учетные данные) для отзыва доступа к учетным записям.
| Атрибут | Значение |
|---|---|
| Тип аномалии | UEBA |
| Источники данных | Журналы аудита Microsoft Entra |
| Тактика MITRE ATT&CK: | Воздействие |
| Методы MITRE ATT&CK: | T1531 — отзыв доступа к учетной записи |
| Действие | Основной каталог, управление пользователем, сброс пароля пользователя |
Вернуться к списку аномалий | UEBA Назад в начало
Аномальное предоставление привилегий
Описание. Злоумышленники могут добавить контролируемые злоумышленником учетные данные для субъектов-служб Azure в дополнение к существующим законным учетным данным, чтобы сохранить постоянный доступ к учетным записям Azure жертвы.
| Атрибут | Значение |
|---|---|
| Тип аномалии | UEBA |
| Источники данных | Журналы аудита Microsoft Entra |
| Тактика MITRE ATT&CK: | Сохраняемость |
| Методы MITRE ATT&CK: | T1098 — операции с учетной записью |
| Вспомогательные методы MITRE ATT&CK: | Дополнительные учетные данные субъекта-службы Azure |
| Действие | Подготовка учетных записей, управление приложением, добавление назначения роли приложения субъекту-службе |
Вернуться к списку аномалий | UEBA Назад в начало
Аномальная попытка входа
Описание. Злоумышленники могут украсть учетные данные определенного пользователя или учетной записи службы, используя методы доступа к учетным данным, или захватить учетные данные ранее в процессе разведки с помощью социальной инженерии для обеспечения сохранения.
| Атрибут | Значение |
|---|---|
| Тип аномалии | UEBA |
| Источники данных | Журналы входов Microsoft Entra Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Сохраняемость |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
| Действие | Идентификатор Microsoft Entra: действие входа Безопасность Windows: успешная попытка входа (идентификатор события 4624) |
Вернуться к списку аномалий | UEBA Назад в начало
Аномалии на основе машинного обучения
Настраиваемые аномалии Microsoft Sentinel, основанные на машинном обучении, могут выявлять аномальное поведение с помощью шаблонов правил аналитики, которые можно сразу же использовать в работе. Хотя аномалии сами по себе не обязательно указывают на злонамеренное или даже подозрительное поведение, их можно использовать для улучшения обнаружения, расследования и поиска угроз.
- Аномальные сеансы входа в Microsoft Entra
- Аномальные операции Azure
- Аномальное выполнение кода
- Аномальное создание локальной учетной записи
- Аномальное действие сканирования
- Аномальные действия пользователей в Office Exchange
- Аномальные действия пользователей и приложений в журналах аудита Azure
- Аномальное действие журналов W3CIIS
- Аномальное действие веб-запроса
- Попытка подбора на компьютере
- Попытка подбора учетной записи пользователя
- Попытка подбора учетной записи пользователя на тип попытки входа
- Попытка подбора учетной записи пользователя на причину сбоя
- Обнаружение поведения сгенерированного сетевого маяка на компьютере
- Алгоритм создания доменов (DGA) в доменах DNS
- Репутация домена Пало Альто аномалия (ПРЕКРАЩЕНО)
- Аномалия чрезмерной передачи данных
- Чрезмерное скачивание через Palo Alto GlobalProtect
- Чрезмерная отправка через Palo Alto GlobalProtect
- Вход из необычного региона с помощью учетных записей Palo Alto GlobalProtect
- Несколько регионов входа в один день через Palo Alto GlobalProtect (ПРЕКРАЩЕНО)
- Потенциальное перемещение данных
- Алгоритм потенциального создания доменов (DGA) для доменов DNS следующего уровня
- Подозрительное изменение географического региона в учетных записях Palo Alto GlobalProtect
- Доступ к подозрительному количеству защищенных документов
- Подозрительное количество вызовов API AWS с исходного IP-адреса, отличного от IP-адреса AWS
- Подозрительное количество событий журнала AWS CloudTrail учетной записи пользователя группы по EventTypeName
- Подозрительное количество вызовов API записи AWS из учетной записи пользователя
- Подозрительное количество неудачных попыток входа в консоль AWS по каждой учетной записи пользователя группы
- Подозрительное количество неудачных попыток входа в консоль AWS по каждому исходному IP-адресу
- Подозрительное количество попыток входа на компьютер
- Подозрительное количество попыток входа на компьютер с использованием маркера с повышенными привилегиями
- Подозрительное количество попыток входа в учетную запись пользователя
- Подозрительное количество попыток входа в учетную запись пользователя по типам входа
- Подозрительное количество попыток входа в учетную запись пользователя с использованием маркера с повышенными привилегиями
- Обнаружена необычное оповещение внешнего брандмауэра
- Необычное понижение уровня массы метки AIP
- Необычный сетевой обмен данными на часто используемых портах
- Аномалия необычного сетевого тома
- Необычный веб-трафик, обнаруженный с IP-адресом в URL-пути
Аномальные сеансы входа в Microsoft Entra
Описание. Модель машинного обучения группирует журналы входа Microsoft Entra на основе каждого пользователя. Модель обучается на поведении входа пользователя за предыдущие 6 дней. Это указывает на аномальные сеансы входа пользователя за последний день.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы входов Microsoft Entra |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи T1566 — фишинг T1133 — внешние удаленные службы |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Аномальные операции Azure
Описание. Этот алгоритм обнаружения собирает данные об операциях Azure за 21 день, сгруппированные по пользователям, для обучения этой модели машинного обучения. Затем алгоритм генерирует аномалии в случае пользователей, которые выполняли последовательности операций, необычных в их рабочих областях. Обученная модель машинного обучения оценивает операции, выполняемые пользователем, и считает аномальными те, оценка которых превышает определенный порог.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы действий Azure |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1190 — эксплойт общедоступного приложения |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Аномальное выполнение кода
Описание. Злоумышленники могут злоупотреблять интерпретаторами команд и скриптов для выполнения команд, скриптов или двоичных файлов. Эти интерфейсы и языки обеспечивают способы взаимодействия с компьютерными системами и представляют общие возможности на разных платформах.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы действий Azure |
| Тактика MITRE ATT&CK: | Выполнение |
| Методы MITRE ATT&CK: | T1059 — интерпретатор команд и скриптов |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Аномальное создание локальной учетной записи
Описание. Этот алгоритм обнаруживает аномальное создание локальной учетной записи в системах Windows. Злоумышленники могут создавать локальные учетные записи для сохранения доступа к целевым системам. Этот алгоритм анализирует действия пользователей по созданию локальных учетных записей за предыдущие 14 дней. Он ищет аналогичную активность в текущий день от пользователей, для которых ранее не были замечены действия. Вы можете настроить список разрешений, чтобы отфильтровать известных пользователей от активации этой аномалии.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Сохраняемость |
| Методы MITRE ATT&CK: | T1136 — создание учетной записи |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Аномальное действие сканирования
Описание. Этот алгоритм ищет действие сканирования портов, поступающее с одного IP-адреса источника на один или несколько IP-адресов назначения, что обычно не наблюдается в этой среде.
Алгоритм учитывает, является ли IP-адрес общедоступным или внешним, а также частным или внутренним, и событие помечается соответствующим образом. Сейчас рассматривается только действие "частный — общедоступный" или "общедоступный — частный". Действие сканирования может указывать на то, что злоумышленник пытается определить доступные службы в среде, что потенциально может быть использовано для эксплойта или бокового перемещения. Большое количество исходных портов и большое количество портов назначения от одного исходного IP-адреса до одного или нескольких целевых IP-адресов или IP-адресов может представлять интерес и указывать на аномальное сканирование. Кроме того, если существует высокое соотношение IP-адресов назначения к IP-адресу одного источника, это может указывать на аномальное сканирование.
Сведения о конфигурации:
- По умолчанию задание выполняется ежедневно с почасовыми интервалами.
Алгоритм использует следующие настраиваемые значения по умолчанию для ограничения результатов на основе интервалов времени. - Включенные действия устройства: прием, разрешение, запуск
- Исключенные порты: 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
- Число уникальных целевых портов >= 600
- Число уникальных исходных портов >= 600
- Число уникальных исходных портов, разделенных по отдельному конечному порту; соотношение, преобразованное в процент >= 99,99
- Исходный IP-адрес (всегда 1), разделенный по конечному IP-адресу; соотношение, преобразованное в процент >= 99,99
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Тактика MITRE ATT&CK: | Обнаружение |
| Методы MITRE ATT&CK: | T1046 — сканирование сетевых служб |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Аномальные действия пользователей в Office Exchange
Описание. Эта модель машинного обучения группирует журналы Office Exchange для каждого пользователя в почасовые контейнеры. Мы определяем один час как сеанс. Модель обучается на поведении всех обычных (не администраторов) пользователей за предыдущие 7 дней. Это указывает на аномальные сеансы пользователей Office Exchange за последний день.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журнал действий Office (Exchange) |
| Тактика MITRE ATT&CK: | Сохраняемость Коллекция |
| Методы MITRE ATT&CK: | Коллекция: T1114 — коллекция электронной почты T1213 — данные из репозиториев сведений Сохраняемость: T1098 — операции с учетной записью T1136 — создание учетной записи T1137 — запуск приложения Office T1505 — компонент программного обеспечения сервера |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Аномальные действия пользователей и приложений в журналах аудита Azure
Описание. Этот алгоритм определяет аномальные сеансы Azure пользователей и приложений в журналах аудита за последний день на основе поведения всех пользователей и приложений за предыдущий 21 день. Алгоритм проверяет наличие достаточного объема данных перед обучением модели.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы аудита Microsoft Entra |
| Тактика MITRE ATT&CK: | Коллекция Обнаружение Первоначальный доступ Сохраняемость Повышение привилегий |
| Методы MITRE ATT&CK: | Коллекция: T1530 — данные из объекта облачного хранилища Обнаружение: T1087 — обнаружение учетной записи T1538 — панель мониторинга облачной службы T1526 — обнаружение облачной службы T1069 — обнаружение групп разрешений T1518 — обнаружение программного обеспечения Исходный доступ: T1190 — эксплойт общедоступного приложения T1078 — допустимые учетные записи Сохраняемость: T1098 — операции с учетной записью T1136 — создание учетной записи T1078 — допустимые учетные записи Повышение привилегий. T1484 — изменение политики домена T1078 — допустимые учетные записи |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Аномальное действие журналов W3CIIS
Описание. Этот алгоритм машинного обучения указывает на аномальные сеансы IIS за последний день. Например, он будет захватывать необычно большое количество разных запросов URI, пользовательских агентов или журналов в сеансе либо определенных HTTP-команд или HTTP-статусов в сеансе. Алгоритм выявляет необычные события W3CIISLog в рамках ежечасного сеанса, сгруппированные по имени сайта и IP-адресу клиента. Модель обучается на действиях IIS за предыдущие 7 дней. Алгоритм проверяет наличие достаточного объема действий IIS перед обучением модели.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы W3CIIS |
| Тактика MITRE ATT&CK: | Первоначальный доступ Сохраняемость |
| Методы MITRE ATT&CK: | Исходный доступ: T1190 — эксплойт общедоступного приложения Сохраняемость: T1505 — компонент программного обеспечения сервера |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Аномальное действие веб-запроса
Описание. Этот алгоритм группирует события W3CIISLog в почасовые сеансы, сгруппированные по имени сайта и основе URI. Модель машинного обучения определяет сеансы с необычно большим количеством запросов, которые вызывали коды ответов класса 5xx за последний день. Коды класса 5xx указывают на то, что запрос вызвал некоторую нестабильность или ошибку приложения. Это может быть признаком того, что злоумышленник исследует основу URI на наличие уязвимостей и проблем с конфигурацией, выполняет некоторые действия по несанкционированному использованию, такие как внедрение кода SQL, или использует неисправленную уязвимость. Этот алгоритм использует данные для обучения за 6 дней.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы W3CIIS |
| Тактика MITRE ATT&CK: | Первоначальный доступ Сохраняемость |
| Методы MITRE ATT&CK: | Исходный доступ: T1190 — эксплойт общедоступного приложения Сохраняемость: T1505 — компонент программного обеспечения сервера |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Попытка подбора на компьютере
Описание. Этот алгоритм обнаруживает необычно большое количество неудачных попыток входа (идентификатор события безопасности 4625) на компьютер за последний день. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Доступ к четным данным |
| Методы MITRE ATT&CK: | T1110 — метод перебора |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Попытка подбора учетной записи пользователя
Описание. Этот алгоритм обнаруживает необычно большое количество неудачных попыток входа (идентификатор события безопасности 4625) на учетную запись за последний день. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Доступ к четным данным |
| Методы MITRE ATT&CK: | T1110 — метод перебора |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Попытка подбора учетной записи пользователя на тип попытки входа
Описание. Этот алгоритм обнаруживает необычно большое количество неудачных попыток входа (идентификатор события безопасности 4625) на учетную запись на тип попытки входа за последний день. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Доступ к четным данным |
| Методы MITRE ATT&CK: | T1110 — метод перебора |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Попытка подбора учетной записи пользователя на причину сбоя
Описание. Этот алгоритм обнаруживает необычно большое количество неудачных попыток входа (идентификатор события безопасности 4625) на учетную запись на причину сбоя за последний день. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Доступ к четным данным |
| Методы MITRE ATT&CK: | T1110 — метод перебора |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Обнаружение поведения сгенерированного сетевого маяка на компьютере
Описание. Этот алгоритм определяет шаблоны маяков из журналов подключений к сетевому трафику на основе повторяющихся шаблонов дельты времени. Любое сетевое подключение к ненадежным общедоступным сетям с повторяющимися дельтами времени является признаком обратных вызовов вредоносного ПО или попыток кражи данных. Алгоритм вычисляет дельту времени между последовательными сетевыми подключениями между одним и тем же IP-адресом источника и IP-адресом назначения, а также количество подключений в последовательности дельты времени между одними и теми же источниками и назначениями. Процент отправки маяков рассчитывается как количество подключений в последовательности дельты времени по отношению к общему количеству подключений за день.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | CommonSecurityLog (PAN) |
| Тактика MITRE ATT&CK: | Команды и управление |
| Методы MITRE ATT&CK: | T1071 — протокол прикладного уровня T1132 — кодировка данных T1001 — обфускация данных T1568 — динамическое разрешение T1573 — зашифрованный канал T1008 — резервные каналы T1104 — многоэтапные каналы T1095 — протокол не прикладного уровня T1571 — нестандартный порт T1572 — туннелирование протоколов T1090 — прокси-сервер T1205 — сигнализация трафика T1102 — веб-служба |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Алгоритм создания доменов (DGA) в доменах DNS
Описание. Эта модель машинного обучения указывает в журналах DNS на потенциальные домены DGA за прошедший день. Алгоритм применяется к записям DNS, которые разрешаются в адреса IPv4 и IPv6.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | События DNS |
| Тактика MITRE ATT&CK: | Команды и управление |
| Методы MITRE ATT&CK: | T1568 — динамическое разрешение |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Репутация домена Пало Альто аномалия (ПРЕКРАЩЕНО)
Описание. Этот алгоритм оценивает репутацию всех доменов, обнаруженных в журналах брандмауэра Palo Alto (продукт PAN-OS). Высокая оценка аномалии указывает на низкую репутацию, предполагая, что в домене было замечено размещение вредоносного содержимого, или, скорее всего, это произойдет.
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Аномалия чрезмерной передачи данных
Описание. Этот алгоритм обнаруживает необычно интенсивную передачу данных, наблюдаемую в сетевых журналах. Он использует временные ряды для разбивки данных на сезонные, трендовые и остаточные компоненты для расчета базовых показателей. Любое внезапное большое отклонение от предыдущих базовых показателей считается аномальным действием.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Тактика MITRE ATT&CK: | Кража |
| Методы MITRE ATT&CK: | T1030 — ограничения размера передачи данных T1041 — кража через канал C2 T1011 — кража через другие сетевые носители T1567 — кража через веб-службу T1029 — запланированная передача T1537 — передача данных в облачную учетную запись |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Чрезмерное скачивание через Palo Alto GlobalProtect
Описание. Этот алгоритм обнаруживает необычно большое количество операций скачивания на учетную запись пользователя через решение VPN Palo Alto. Модель обучается на журналах VPN за предыдущие 14 дней. Это указывает на аномально высокое количество операций скачивания за прошедший день.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | CommonSecurityLog (PAN VPN) |
| Тактика MITRE ATT&CK: | Кража |
| Методы MITRE ATT&CK: | T1030 — ограничения размера передачи данных T1041 — кража через канал C2 T1011 — кража через другие сетевые носители T1567 — кража через веб-службу T1029 — запланированная передача T1537 — передача данных в облачную учетную запись |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Чрезмерная отправка через Palo Alto GlobalProtect
Описание. Этот алгоритм обнаруживает необычно большое количество операций отправки на учетную запись пользователя через решение VPN Palo Alto. Модель обучается на журналах VPN за предыдущие 14 дней. Это указывает на аномально высокий объем отправок за прошедший день.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | CommonSecurityLog (PAN VPN) |
| Тактика MITRE ATT&CK: | Кража |
| Методы MITRE ATT&CK: | T1030 — ограничения размера передачи данных T1041 — кража через канал C2 T1011 — кража через другие сетевые носители T1567 — кража через веб-службу T1029 — запланированная передача T1537 — передача данных в облачную учетную запись |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Вход из необычного региона с помощью учетных записей Palo Alto GlobalProtect
Описание. Когда учетная запись Palo Alto GlobalProtect используется для выполнения входа из исходного региона, из которого редко выполнялся вход в течение последних 14 дней, возникает аномалия. Эта аномалия может указывать на то, что учетная запись была скомпрометирована.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | CommonSecurityLog (PAN VPN) |
| Тактика MITRE ATT&CK: | Доступ к четным данным Первоначальный доступ Боковое смещение |
| Методы MITRE ATT&CK: | T1133 — внешние удаленные службы |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Несколько регионов входа в один день через Palo Alto GlobalProtect (ПРЕКРАЩЕНО)
Описание. Этот алгоритм обнаруживает учетную запись пользователя, которая за один день выполняла вход из нескольких несмежных регионов через VPN Palo Alto.
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Потенциальное перемещение данных
Описание. Этот алгоритм сравнивает скачивание отдельных файлов для каждого пользователя за предыдущую неделю со скачиванием для каждого пользователя за текущий день, и аномалия возникает, когда количество операций скачивания отдельных файлов превышает установленное стандартное отклонение (выше среднего). Сейчас алгоритм анализирует только файлы, часто встречающиеся при краже документов, изображений, видео и архивов с расширениями doc, docx, xls, xlsx, xlsm, ppt, pptx, one, pdf, zip, rar, bmp, jpg, mp3, mp4 и mov.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журнал действий Office (Exchange) |
| Тактика MITRE ATT&CK: | Коллекция |
| Методы MITRE ATT&CK: | T1074 — перемещенные данные |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Алгоритм потенциального создания доменов (DGA) для доменов DNS следующего уровня
Описание. Эта модель машинного обучения указывает на необычные домены следующего уровня (третьего уровня и выше) доменных имен из журналов DNS за последние дни. Потенциально это может быть результатом выполнения алгоритма генерации доменов (DGA). Алгоритм применяется к записям DNS, которые разрешаются в адреса IPv4 и IPv6.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | События DNS |
| Тактика MITRE ATT&CK: | Команды и управление |
| Методы MITRE ATT&CK: | T1568 — динамическое разрешение |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Подозрительное изменение географического региона в учетных записях Palo Alto GlobalProtect
Описание. Совпадение указывает, что пользователь вошел удаленно из страны или региона, отличного от страны или региона последнего удаленного входа пользователя. Это правило также может указывать на компрометацию учетной записи, особенно если совпадения правил произошли близко во времени. Сюда входит сценарий невозможного путешествия.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | CommonSecurityLog (PAN VPN) |
| Тактика MITRE ATT&CK: | Первоначальный доступ Доступ к четным данным |
| Методы MITRE ATT&CK: | T1133 — внешние удаленные службы T1078 — допустимые учетные записи |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Доступ к подозрительному количеству защищенных документов
Описание. Этот алгоритм обнаруживает доступ к большому объему защищенных документов в журналах Azure Information Protection (AIP). Он оценивает записи рабочей нагрузки AIP за заданное количество дней и определяет, выполнял ли пользователь необычный доступ к защищенным документам в течение дня с учетом предыдущего поведения.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы Azure Information Protection |
| Тактика MITRE ATT&CK: | Коллекция |
| Методы MITRE ATT&CK: | T1530 — данные из объекта облачного хранилища T1213 — данные из репозиториев сведений T1005 — данные из локальной системы T1039 — данные с общего сетевого диска T1114 — коллекция электронной почты |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Подозрительное количество вызовов API AWS с исходного IP-адреса, отличного от IP-адреса AWS
Описание. Этот алгоритм обнаруживает необычно большое количество вызовов API AWS на учетную запись пользователя в рабочей области с исходных IP-адресов, не входящих в диапазоны исходных IP-адресов AWS, за последний день. Модель обучается на событиях журнала AWS CloudTrail по исходному IP-адресу за предыдущий 21 день. Это действие может указывать на то, что учетная запись пользователя скомпрометирована.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы AWS CloudTrail |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Подозрительное количество событий журнала AWS CloudTrail учетной записи пользователя группы по EventTypeName
Описание. Этот алгоритм обнаруживает необычно большое количество событий для каждой групповой учетной записи пользователя по разным типам событий (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction) в журнале AWS CloudTrail за последний день. Модель обучается на событиях журнала AWS CloudTrail по учетной записи пользователя группы за предыдущий 21 день. Это действие может указывать на то, что учетная запись скомпрометирована.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы AWS CloudTrail |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Подозрительное количество вызовов API записи AWS из учетной записи пользователя
Описание. Этот алгоритм обнаруживает необычно большое количество вызовов API записи AWS для каждой учетной записи пользователя за последний день. Модель обучается на событиях журнала AWS CloudTrail по учетной записи пользователя за предыдущий 21 день. Это действие может указывать на то, что учетная запись скомпрометирована.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы AWS CloudTrail |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Подозрительное количество неудачных попыток входа в консоль AWS по каждой учетной записи пользователя группы
Описание. Этот алгоритм обнаруживает необычно большое количество неудачных попыток входа в консоль AWS для каждой учетной записи пользователя группы в журнале AWS CloudTrail за последний день. Модель обучается на событиях журнала AWS CloudTrail по учетной записи пользователя группы за предыдущий 21 день. Это действие может указывать на то, что учетная запись скомпрометирована.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы AWS CloudTrail |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Подозрительное количество неудачных попыток входа в консоль AWS по каждому исходному IP-адресу
Описание. Этот алгоритм обнаруживает необычно большое количество неудачных попыток входа в консоль AWS на исходный IP-адрес в журнале AWS CloudTrail за последний день. Модель обучается на событиях журнала AWS CloudTrail по исходному IP-адресу за предыдущий 21 день. Это действие может указывать на то, что IP-адрес скомпрометирован.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы AWS CloudTrail |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Подозрительное количество попыток входа на компьютер
Описание. Этот алгоритм обнаруживает необычно большое количество успешных попыток входа (идентификатор события безопасности 4624) на компьютер за последний день. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Подозрительное количество попыток входа на компьютер с использованием маркера с повышенными привилегиями
Описание. Этот алгоритм обнаруживает необычно большое количество успешных попыток входа (идентификатор события безопасности 4624) с административными привилегиями на компьютер за последний день. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Подозрительное количество попыток входа в учетную запись пользователя
Описание. Этот алгоритм обнаруживает необычно большое количество успешных попыток входа (идентификатор события безопасности 4624) на учетную запись пользователя за последний день. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Подозрительное количество попыток входа в учетную запись пользователя по типам входа
Описание. Этот алгоритм обнаруживает необычно большое количество успешных попыток входа (идентификатор события безопасности 4624) на учетную запись пользователя по разным типам входа за последний день. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Подозрительное количество попыток входа в учетную запись пользователя с использованием маркера с повышенными привилегиями
Описание. Этот алгоритм обнаруживает необычно большое количество успешных попыток входа (идентификатор события безопасности 4624) с административными привилегиями на учетную запись пользователя за последний день. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Обнаружено необычное оповещение внешнего брандмауэра
Описание. Этот алгоритм определяет необычные оповещения внешнего брандмауэра, которые являются сигнатурами угроз, выпущенными поставщиком брандмауэра. Он использует действия за последние 7 дней, чтобы вычислить 10 наиболее часто инициируемых сигнатур и 10 узлов, которые инициировали наибольшее количество сигнатур. После исключения обоих типов избыточных событий аномалия возникает только после превышения порога количества сигнатур, инициированных за один день.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | CommonSecurityLog (PAN) |
| Тактика MITRE ATT&CK: | Обнаружение Команды и управление |
| Методы MITRE ATT&CK: | Обнаружение: T1046 — сканирование сетевых служб T1135 — обнаружение общих сетевых папок Команды и элементы управления: T1071 — протокол прикладного уровня T1095 — протокол не прикладного уровня T1571 — нестандартный порт |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Необычное понижение уровня массы метки AIP
Описание. Этот алгоритм обнаруживает необычно большое количество действий с метками понижения версии в журналах Azure Information Protection (AIP). Он учитывает записи рабочей нагрузки AIP за заданное количество дней и определяет последовательность действий, выполняемых с документами, а также метку, применяемую для классификации необычного количества действий по понижению версии.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | Журналы Azure Information Protection |
| Тактика MITRE ATT&CK: | Коллекция |
| Методы MITRE ATT&CK: | T1530 — данные из объекта облачного хранилища T1213 — данные из репозиториев сведений T1005 — данные из локальной системы T1039 — данные с общего сетевого диска T1114 — коллекция электронной почты |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Необычный сетевой обмен данными на часто используемых портах
Описание. Этот алгоритм определяет необычные сетевые подключения через часто используемые порты, сравнивая ежедневный трафик с базовыми показателями за предыдущие 7 дней. Он оценивает трафик на часто используемых портах (22, 53, 80, 443, 8080, 8888) и сравнивает ежедневный трафик со средним значением и стандартным отклонением нескольких атрибутов сетевого трафика, рассчитанных за базовый период. Учитываемые атрибуты трафика — это общее количество событий за день, ежедневная передача данных и количество отдельных исходных IP-адресов на порт. Аномалия возникает, когда дневные значения превышают заданное количество стандартных отклонений от среднего значения.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| Тактика MITRE ATT&CK: | Команды и управление Кража |
| Методы MITRE ATT&CK: | Команды и элементы управления: T1071 — протокол прикладного уровня Кража. T1030 — ограничения размера передачи данных |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Аномалия необычного сетевого тома
Описание. Этот алгоритм обнаруживает необычно большое количество подключений в сетевых журналах. Он использует временные ряды для разбивки данных на сезонные, трендовые и остаточные компоненты для расчета базовых показателей. Любое внезапное большое отклонение от предыдущих базовых показателей считается аномальным действием.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Тактика MITRE ATT&CK: | Кража |
| Методы MITRE ATT&CK: | T1030 — ограничения размера передачи данных |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Необычный веб-трафик, обнаруженный с IP-адресом в URL-пути
Описание. Этот алгоритм определяет необычные веб-запросы, в которых в качестве узла указан IP-адрес. Алгоритм находит все веб-запросы с IP-адресами в URL-адресе и сравнивает их с данными за предыдущую неделю, чтобы исключить известный неопасный трафик. После исключения известного неопасного трафика он аномалия возникает только после превышения определенных пороговых значений с настроенными значениями, такими как общее количество веб-запросов, количество URL-адресов, просмотренных с одним и тем же IP-адресом назначения узла, и количество разных исходных IP-адресов в наборе URL-адресов с одним и тем же целевым IP-адресом. Этот тип запроса может указывать на попытку обойти службы репутации URL-адресов в злонамеренных целях.
| Атрибут | Значение |
|---|---|
| Тип аномалии | Настраиваемое машинное обучение |
| Источники данных | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| Тактика MITRE ATT&CK: | Команды и управление Первоначальный доступ |
| Методы MITRE ATT&CK: | Команды и элементы управления: T1071 — протокол прикладного уровня Исходный доступ: T1189 — компрометация через скрытую установку |
Назад к аномалиям на основе машинного обучения список | "Назад в начало"
Следующие шаги
Узнайте об аномалиях, создаваемых машинным обучением в Microsoft Sentinel.
Узнайте, как работать с правилами аномалий.
Исследуйте инциденты с помощью Microsoft Sentinel.