Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены аномалии, которые Microsoft Sentinel обнаруживает с помощью разных моделей машинного обучения.
Обнаружение аномалий работает путем анализа поведения пользователей в среде за некоторый период времени и определения базового уровня допустимых действий. Как только базовый уровень будет установлен, любые действия за пределами нормальных параметров считаются аномальными и, следовательно, подозрительными.
Microsoft Sentinel использует две разные модели для создания базового плана и обнаружения аномалий.
Note
Следующие обнаружения аномалий прекращены с 26 марта 2024 г. из-за низкого качества результатов:
- Аномалия Palo Alto репутации домена
- Входы из нескольких регионов за один день через Palo Alto GlobalProtect
Important
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.
UEBA anomalies
Sentinel UEBA обнаруживает аномалии на основе динамического базового плана, созданного для каждой сущности в разных входных данных. Базовое поведение каждой сущности устанавливается в соответствии с ее предыдущими действиями, действиями его коллег и организацией в целом. Аномалии могут быть вызваны корреляцией различных атрибутов, таких как тип действия, географическое положение, устройство, ресурс, поставщик услуг Интернета и т. д.
Необходимо включить функцию UEBA для обнаружения аномалий UEBA.
- Удаление аномального доступа к учетной записи
- Создание аномальной учетной записи
- Удаление аномальных учетных записей
- Аномальная обработка учетных записей
- Аномальное выполнение кода (UEBA)
- Аномальное уничтожение данных
- Изменение аномального оборонительного механизма
- Аномальный сбой входа
- Аномальный сброс пароля
- Аномальные привилегии, предоставленные
- Anomalous Sign-in
Аномальный отзыв доступа к учетной записи
Description: An attacker may interrupt the availability of system and network resources by blocking access to accounts used by legitimate users. Злоумышленник может удалить, заблокировать или изменить учетную запись (например, изменить учетные данные), чтобы отозвать доступ.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Журналы действий Azure |
| Тактика MITRE ATT&CK: | Impact |
| Методы MITRE ATT&CK: | T1531 — отзыв доступа к учетной записи |
| Activity: | Microsoft.Authorization/roleAssignments/delete Log Out |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномальное создание учетной записи
Description: Adversaries may create an account to maintain access to targeted systems. При достаточном уровне доступа создание таких учетных записей может использоваться для установления вторичного доступа с учетными данными без необходимости развертывания в системе постоянных инструментов удаленного доступа.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Журналы аудита Microsoft Entra |
| Тактика MITRE ATT&CK: | Persistence |
| Методы MITRE ATT&CK: | T1136 — создание учетной записи |
| Вспомогательные методы MITRE ATT&CK: | Cloud Account |
| Activity: | Основной каталог, управление пользователем, добавление пользователя |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномальное удаление учетной записи
Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Учетные записи могут быть удалены, заблокированы или изменены (например, изменены учетные данные) для отзыва доступа к учетным записям.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Журналы аудита Microsoft Entra |
| Тактика MITRE ATT&CK: | Impact |
| Методы MITRE ATT&CK: | T1531 — отзыв доступа к учетной записи |
| Activity: | Основной каталог, управление пользователем, удаление пользователя Основной каталог, устройство, удаление пользователя Основной каталог, управление пользователем, удаление пользователя |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномальные операции с учетной записью
Description: Adversaries may manipulate accounts to maintain access to target systems. Эти действия включают добавление новых учетных записей в группы с высоким уровнем привилегий. В Dragonfly 2.0, например, добавлены новые учетные записи в группу администраторов для сохранения повышенного доступа. Приведенный ниже запрос генерирует выходные данные всех пользователей с большим радиусом воздействия, выполняющих операцию "Обновить пользователя" (изменение имени) для привилегированной роли, или тех, кто изменил пользователей в первый раз.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Журналы аудита Microsoft Entra |
| Тактика MITRE ATT&CK: | Persistence |
| Методы MITRE ATT&CK: | T1098 — операции с учетной записью |
| Activity: | Основной каталог, управление пользователем, обновление пользователя |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномальное выполнение кода (UEBA)
Description: Adversaries may abuse command and script interpreters to execute commands, scripts, or binaries. Эти интерфейсы и языки обеспечивают способы взаимодействия с компьютерными системами и представляют общие возможности на разных платформах.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Журналы действий Azure |
| Тактика MITRE ATT&CK: | Execution |
| Методы MITRE ATT&CK: | T1059 — интерпретатор команд и скриптов |
| Вспомогательные методы MITRE ATT&CK: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномальное уничтожение данных
Description: Adversaries may destroy data and files on specific systems or in large numbers on a network to interrupt availability to systems, services, and network resources. Уничтожение данных может привести к тому, что сохраненные данные нельзя будет восстановить с помощью методов судебной экспертизы путем перезаписи файлов или данных на локальных и удаленных дисках.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Журналы действий Azure |
| Тактика MITRE ATT&CK: | Impact |
| Методы MITRE ATT&CK: | T1485 — уничтожение данных |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномальное изменение защитного механизма
Description: Adversaries may disable security tools to avoid possible detection of their tools and activities.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Журналы действий Azure |
| Тактика MITRE ATT&CK: | Defense Evasion |
| Методы MITRE ATT&CK: | T1562 — нарушение защиты |
| Вспомогательные методы MITRE ATT&CK: | Отключение или изменение средств Отключение или изменение облачного брандмауэра |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномальный сбой входа
Description: Adversaries with no prior knowledge of legitimate credentials within the system or environment may guess passwords to attempt access to accounts.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Журналы входов Microsoft Entra Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Credential Access |
| Методы MITRE ATT&CK: | T1110 — метод перебора |
| Activity: |
Идентификатор Microsoft Entra: Действие входа Windows Security: Failed login (Event ID 4625) |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномальный сброс пароля
Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Учетные записи могут быть удалены, заблокированы или изменены (например, изменены учетные данные) для отзыва доступа к учетным записям.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Журналы аудита Microsoft Entra |
| Тактика MITRE ATT&CK: | Impact |
| Методы MITRE ATT&CK: | T1531 — отзыв доступа к учетной записи |
| Activity: | Основной каталог, управление пользователем, сброс пароля пользователя |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномальное предоставление привилегий
Description: Adversaries may add adversary-controlled credentials for Azure Service Principals in addition to existing legitimate credentials to maintain persistent access to victim Azure accounts.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Журналы аудита Microsoft Entra |
| Тактика MITRE ATT&CK: | Persistence |
| Методы MITRE ATT&CK: | T1098 — операции с учетной записью |
| Вспомогательные методы MITRE ATT&CK: | Дополнительные учетные данные субъекта-службы Azure |
| Activity: | Подготовка учетных записей, управление приложением, добавление назначения роли приложения субъекту-службе |
Вернитесь к списку | аномалий UEBAНазад в начало
Anomalous Sign-in
Description: Adversaries may steal the credentials of a specific user or service account using Credential Access techniques or capture credentials earlier in their reconnaissance process through social engineering for means of gaining Persistence.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Журналы входов Microsoft Entra Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Persistence |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
| Activity: |
Идентификатор Microsoft Entra: Действие входа Windows Security: Successful login (Event ID 4624) |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномалии на основе машинного обучения
Настраиваемые аномалии Microsoft Sentinel, основанные на машинном обучении, могут выявлять аномальное поведение с помощью шаблонов правил аналитики, которые можно сразу же использовать в работе. Хотя аномалии сами по себе не обязательно указывают на злонамеренное или даже подозрительное поведение, их можно использовать для улучшения обнаружения, расследования и поиска угроз.
- Аномальные операции Azure
- Аномальное выполнение кода
- Создание аномальных локальных учетных записей
- Аномальные действия пользователей в Office Exchange
- Попытка принудительного подбора компьютера
- Попытка принудительного подбора учетной записи пользователя
- Попытка принудительного подбора учетной записи пользователя для каждого типа входа
- Попытка подбора учетной записи пользователя по причине сбоя
- Обнаружение поведения сетевого маяка, созданного компьютером
- Алгоритм создания доменов (DGA) в доменах DNS
- Чрезмерное скачивание с помощью Palo Alto GlobalProtect
- Чрезмерные отправки через Palo Alto GlobalProtect
- Потенциальный алгоритм создания доменов (DGA) на следующих доменах DNS
- Подозрительный объем вызовов API AWS из исходного IP-адреса, отличного от AWS
- Подозрительный объем вызовов API записи AWS из учетной записи пользователя
- Подозрительный объем имен входа на компьютер
- Подозрительный объем имен входа на компьютер с повышенными привилегиями
- Подозрительный объем имен входа в учетную запись пользователя
- Подозрительный объем имен входа в учетную запись пользователя по типам входа
- Подозрительный объем имен входа в учетную запись пользователя с повышенными привилегиями
Аномальные операции Azure
Description: This detection algorithm collects 21 days' worth of data on Azure operations grouped by user to train this ML model. Затем алгоритм генерирует аномалии в случае пользователей, которые выполняли последовательности операций, необычных в их рабочих областях. Обученная модель машинного обучения оценивает операции, выполняемые пользователем, и считает аномальными те, оценка которых превышает определенный порог.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | Журналы действий Azure |
| Тактика MITRE ATT&CK: | Initial Access |
| Методы MITRE ATT&CK: | T1190 — эксплойт общедоступного приложения |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Аномальное выполнение кода
Description: Attackers may abuse command and script interpreters to execute commands, scripts, or binaries. Эти интерфейсы и языки обеспечивают способы взаимодействия с компьютерными системами и представляют общие возможности на разных платформах.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | Журналы действий Azure |
| Тактика MITRE ATT&CK: | Execution |
| Методы MITRE ATT&CK: | T1059 — интерпретатор команд и скриптов |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Аномальное создание локальной учетной записи
Description: This algorithm detects anomalous local account creation on Windows systems. Злоумышленники могут создавать локальные учетные записи для сохранения доступа к целевым системам. Этот алгоритм анализирует действия пользователей по созданию локальных учетных записей за предыдущие 14 дней. Он ищет аналогичную активность в текущий день от пользователей, для которых ранее не были замечены действия. Вы можете настроить список разрешений, чтобы отфильтровать известных пользователей от активации этой аномалии.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Persistence |
| Методы MITRE ATT&CK: | T1136 — создание учетной записи |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Аномальные действия пользователей в Office Exchange
Description: This machine learning model groups the Office Exchange logs on a per-user basis into hourly buckets. Мы определяем один час как сеанс. Модель обучается на поведении всех обычных (не администраторов) пользователей за предыдущие 7 дней. Это указывает на аномальные сеансы пользователей Office Exchange за последний день.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | Журнал действий Office (Exchange) |
| Тактика MITRE ATT&CK: | Persistence Collection |
| Методы MITRE ATT&CK: |
Collection: T1114 — коллекция электронной почты T1213 — данные из репозиториев сведений Persistence: T1098 — операции с учетной записью T1136 — создание учетной записи T1137 — запуск приложения Office T1505 — компонент программного обеспечения сервера |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Попытка подбора на компьютере
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per computer over the past day. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Credential Access |
| Методы MITRE ATT&CK: | T1110 — метод перебора |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Попытка подбора учетной записи пользователя
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account over the past day. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Credential Access |
| Методы MITRE ATT&CK: | T1110 — метод перебора |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Попытка подбора учетной записи пользователя на тип попытки входа
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per logon type over the past day. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Credential Access |
| Методы MITRE ATT&CK: | T1110 — метод перебора |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Попытка подбора учетной записи пользователя на причину сбоя
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per failure reason over the past day. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Credential Access |
| Методы MITRE ATT&CK: | T1110 — метод перебора |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Обнаружение поведения сгенерированного сетевого маяка на компьютере
Description: This algorithm identifies beaconing patterns from network traffic connection logs based on recurrent time delta patterns. Любое сетевое подключение к ненадежным общедоступным сетям с повторяющимися дельтами времени является признаком обратных вызовов вредоносного ПО или попыток кражи данных. Алгоритм вычисляет дельту времени между последовательными сетевыми подключениями между одним и тем же IP-адресом источника и IP-адресом назначения, а также количество подключений в последовательности дельты времени между одними и теми же источниками и назначениями. Процент отправки маяков рассчитывается как количество подключений в последовательности дельты времени по отношению к общему количеству подключений за день.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | CommonSecurityLog (PAN) |
| Тактика MITRE ATT&CK: | Команды и управление |
| Методы MITRE ATT&CK: | T1071 — протокол прикладного уровня T1132 — кодировка данных T1001 — обфускация данных T1568 — динамическое разрешение T1573 — зашифрованный канал T1008 — резервные каналы T1104 — многоэтапные каналы T1095 — протокол не прикладного уровня T1571 — нестандартный порт T1572 — туннелирование протоколов T1090 — прокси-сервер T1205 — сигнализация трафика T1102 — веб-служба |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Алгоритм создания доменов (DGA) в доменах DNS
Description: This machine learning model indicates potential DGA domains from the past day in the DNS logs. Алгоритм применяется к записям DNS, которые разрешаются в адреса IPv4 и IPv6.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | DNS Events |
| Тактика MITRE ATT&CK: | Команды и управление |
| Методы MITRE ATT&CK: | T1568 — динамическое разрешение |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Чрезмерное скачивание через Palo Alto GlobalProtect
Description: This algorithm detects unusually high volume of download per user account through the Palo Alto VPN solution. Модель обучается на журналах VPN за предыдущие 14 дней. Это указывает на аномально высокое количество операций скачивания за прошедший день.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | CommonSecurityLog (PAN VPN) |
| Тактика MITRE ATT&CK: | Exfiltration |
| Методы MITRE ATT&CK: | T1030 — ограничения размера передачи данных T1041 — кража через канал C2 T1011 — кража через другие сетевые носители T1567 — кража через веб-службу T1029 — запланированная передача T1537 — передача данных в облачную учетную запись |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Чрезмерная отправка через Palo Alto GlobalProtect
Description: This algorithm detects unusually high volume of upload per user account through the Palo Alto VPN solution. Модель обучается на журналах VPN за предыдущие 14 дней. Это указывает на аномально высокий объем отправок за прошедший день.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | CommonSecurityLog (PAN VPN) |
| Тактика MITRE ATT&CK: | Exfiltration |
| Методы MITRE ATT&CK: | T1030 — ограничения размера передачи данных T1041 — кража через канал C2 T1011 — кража через другие сетевые носители T1567 — кража через веб-службу T1029 — запланированная передача T1537 — передача данных в облачную учетную запись |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Алгоритм потенциального создания доменов (DGA) для доменов DNS следующего уровня
Description: This machine learning model indicates the next-level domains (third-level and up) of the domain names from the last day of DNS logs that are unusual. Потенциально это может быть результатом выполнения алгоритма генерации доменов (DGA). Алгоритм применяется к записям DNS, которые разрешаются в адреса IPv4 и IPv6.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | DNS Events |
| Тактика MITRE ATT&CK: | Команды и управление |
| Методы MITRE ATT&CK: | T1568 — динамическое разрешение |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Подозрительное количество вызовов API AWS с исходного IP-адреса, отличного от IP-адреса AWS
Description: This algorithm detects an unusually high volume of AWS API calls per user account per workspace, from source IP addresses outside of AWS's source IP ranges, within the last day. Модель обучается на событиях журнала AWS CloudTrail по исходному IP-адресу за предыдущий 21 день. Это действие может указывать на то, что учетная запись пользователя скомпрометирована.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | Журналы AWS CloudTrail |
| Тактика MITRE ATT&CK: | Initial Access |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Подозрительное количество вызовов API записи AWS из учетной записи пользователя
Description: This algorithm detects an unusually high volume of AWS write API calls per user account within the last day. Модель обучается на событиях журнала AWS CloudTrail по учетной записи пользователя за предыдущий 21 день. Это действие может указывать на то, что учетная запись скомпрометирована.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | Журналы AWS CloudTrail |
| Тактика MITRE ATT&CK: | Initial Access |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Подозрительное количество попыток входа на компьютер
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per computer over the past day. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Initial Access |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Подозрительное количество попыток входа на компьютер с использованием маркера с повышенными привилегиями
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per computer, over the last day. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Initial Access |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Подозрительное количество попыток входа в учетную запись пользователя
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account over the past day. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Initial Access |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Подозрительное количество попыток входа в учетную запись пользователя по типам входа
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account, by different logon types, over the past day. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Initial Access |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Подозрительное количество попыток входа в учетную запись пользователя с использованием маркера с повышенными привилегиями
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per user account, over the last day. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Attribute | Value |
|---|---|
| Anomaly type: | Настраиваемое машинное обучение |
| Data sources: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Initial Access |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Next steps
Узнайте о аномалиях, созданных машинным обучением , в Microsoft Sentinel.
Узнайте, как работать с правилами аномалий.
Investigate incidents with Microsoft Sentinel.