Поделиться через


Аномалии, обнаруженные модулем машинного обучения Microsoft Sentinel

В этой статье перечислены аномалии, которые Microsoft Sentinel обнаруживает с помощью разных моделей машинного обучения.

Обнаружение аномалий работает путем анализа поведения пользователей в среде за некоторый период времени и определения базового уровня допустимых действий. Как только базовый уровень будет установлен, любые действия за пределами нормальных параметров считаются аномальными и, следовательно, подозрительными.

Microsoft Sentinel использует две разные модели для создания базового плана и обнаружения аномалий.

Note

Следующие обнаружения аномалий прекращены с 26 марта 2024 г. из-за низкого качества результатов:

  • Аномалия Palo Alto репутации домена
  • Входы из нескольких регионов за один день через Palo Alto GlobalProtect

Important

Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.

UEBA anomalies

Sentinel UEBA обнаруживает аномалии на основе динамического базового плана, созданного для каждой сущности в разных входных данных. Базовое поведение каждой сущности устанавливается в соответствии с ее предыдущими действиями, действиями его коллег и организацией в целом. Аномалии могут быть вызваны корреляцией различных атрибутов, таких как тип действия, географическое положение, устройство, ресурс, поставщик услуг Интернета и т. д.

Необходимо включить функцию UEBA для обнаружения аномалий UEBA.

Аномальный отзыв доступа к учетной записи

Description: An attacker may interrupt the availability of system and network resources by blocking access to accounts used by legitimate users. Злоумышленник может удалить, заблокировать или изменить учетную запись (например, изменить учетные данные), чтобы отозвать доступ.

Attribute Value
Anomaly type: UEBA
Data sources: Журналы действий Azure
Тактика MITRE ATT&CK: Impact
Методы MITRE ATT&CK: T1531 — отзыв доступа к учетной записи
Activity: Microsoft.Authorization/roleAssignments/delete
Log Out

Вернитесь к списку | аномалий UEBAНазад в начало

Аномальное создание учетной записи

Description: Adversaries may create an account to maintain access to targeted systems. При достаточном уровне доступа создание таких учетных записей может использоваться для установления вторичного доступа с учетными данными без необходимости развертывания в системе постоянных инструментов удаленного доступа.

Attribute Value
Anomaly type: UEBA
Data sources: Журналы аудита Microsoft Entra
Тактика MITRE ATT&CK: Persistence
Методы MITRE ATT&CK: T1136 — создание учетной записи
Вспомогательные методы MITRE ATT&CK: Cloud Account
Activity: Основной каталог, управление пользователем, добавление пользователя

Вернитесь к списку | аномалий UEBAНазад в начало

Аномальное удаление учетной записи

Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Учетные записи могут быть удалены, заблокированы или изменены (например, изменены учетные данные) для отзыва доступа к учетным записям.

Attribute Value
Anomaly type: UEBA
Data sources: Журналы аудита Microsoft Entra
Тактика MITRE ATT&CK: Impact
Методы MITRE ATT&CK: T1531 — отзыв доступа к учетной записи
Activity: Основной каталог, управление пользователем, удаление пользователя
Основной каталог, устройство, удаление пользователя
Основной каталог, управление пользователем, удаление пользователя

Вернитесь к списку | аномалий UEBAНазад в начало

Аномальные операции с учетной записью

Description: Adversaries may manipulate accounts to maintain access to target systems. Эти действия включают добавление новых учетных записей в группы с высоким уровнем привилегий. В Dragonfly 2.0, например, добавлены новые учетные записи в группу администраторов для сохранения повышенного доступа. Приведенный ниже запрос генерирует выходные данные всех пользователей с большим радиусом воздействия, выполняющих операцию "Обновить пользователя" (изменение имени) для привилегированной роли, или тех, кто изменил пользователей в первый раз.

Attribute Value
Anomaly type: UEBA
Data sources: Журналы аудита Microsoft Entra
Тактика MITRE ATT&CK: Persistence
Методы MITRE ATT&CK: T1098 — операции с учетной записью
Activity: Основной каталог, управление пользователем, обновление пользователя

Вернитесь к списку | аномалий UEBAНазад в начало

Аномальное выполнение кода (UEBA)

Description: Adversaries may abuse command and script interpreters to execute commands, scripts, or binaries. Эти интерфейсы и языки обеспечивают способы взаимодействия с компьютерными системами и представляют общие возможности на разных платформах.

Attribute Value
Anomaly type: UEBA
Data sources: Журналы действий Azure
Тактика MITRE ATT&CK: Execution
Методы MITRE ATT&CK: T1059 — интерпретатор команд и скриптов
Вспомогательные методы MITRE ATT&CK: PowerShell
Activity: Microsoft.Compute/virtualMachines/runCommand/action

Вернитесь к списку | аномалий UEBAНазад в начало

Аномальное уничтожение данных

Description: Adversaries may destroy data and files on specific systems or in large numbers on a network to interrupt availability to systems, services, and network resources. Уничтожение данных может привести к тому, что сохраненные данные нельзя будет восстановить с помощью методов судебной экспертизы путем перезаписи файлов или данных на локальных и удаленных дисках.

Attribute Value
Anomaly type: UEBA
Data sources: Журналы действий Azure
Тактика MITRE ATT&CK: Impact
Методы MITRE ATT&CK: T1485 — уничтожение данных
Activity: Microsoft.Compute/disks/delete
Microsoft.Compute/galleries/images/delete
Microsoft.Compute/hostGroups/delete
Microsoft.Compute/hostGroups/hosts/delete
Microsoft.Compute/images/delete
Microsoft.Compute/virtualMachines/delete
Microsoft.Compute/virtualMachineScaleSets/delete
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete
Microsoft.Devices/digitalTwins/Delete
Microsoft.Devices/iotHubs/Delete
Microsoft.KeyVault/vaults/delete
Microsoft.Logic/integrationAccounts/delete
Microsoft.Logic/integrationAccounts/maps/delete
Microsoft.Logic/integrationAccounts/schemas/delete
Microsoft.Logic/integrationAccounts/partners/delete
Microsoft.Logic/integrationServiceEnvironments/delete
Microsoft.Logic/workflows/delete
Microsoft.Resources/subscriptions/resourceGroups/delete
Microsoft.Sql/instancePools/delete
Microsoft.Sql/managedInstances/delete
Microsoft.Sql/managedInstances/administrators/delete
Microsoft.Sql/managedInstances/databases/delete
Microsoft.Storage/storageAccounts/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete
Microsoft.Storage/storageAccounts/blobServices/containers/delete
Microsoft.AAD/domainServices/delete

Вернитесь к списку | аномалий UEBAНазад в начало

Аномальное изменение защитного механизма

Description: Adversaries may disable security tools to avoid possible detection of their tools and activities.

Attribute Value
Anomaly type: UEBA
Data sources: Журналы действий Azure
Тактика MITRE ATT&CK: Defense Evasion
Методы MITRE ATT&CK: T1562 — нарушение защиты
Вспомогательные методы MITRE ATT&CK: Отключение или изменение средств
Отключение или изменение облачного брандмауэра
Activity: Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete
Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete
Microsoft.Network/networkSecurityGroups/securityRules/delete
Microsoft.Network/networkSecurityGroups/delete
Microsoft.Network/ddosProtectionPlans/delete
Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete
Microsoft.Network/applicationSecurityGroups/delete
Microsoft.Authorization/policyAssignments/delete
Microsoft.Sql/servers/firewallRules/delete
Microsoft.Network/firewallPolicies/delete
Microsoft.Network/azurefirewalls/delete

Вернитесь к списку | аномалий UEBAНазад в начало

Аномальный сбой входа

Description: Adversaries with no prior knowledge of legitimate credentials within the system or environment may guess passwords to attempt access to accounts.

Attribute Value
Anomaly type: UEBA
Data sources: Журналы входов Microsoft Entra
Журналы безопасности Windows
Тактика MITRE ATT&CK: Credential Access
Методы MITRE ATT&CK: T1110 — метод перебора
Activity: Идентификатор Microsoft Entra: Действие входа
Windows Security: Failed login (Event ID 4625)

Вернитесь к списку | аномалий UEBAНазад в начало

Аномальный сброс пароля

Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Учетные записи могут быть удалены, заблокированы или изменены (например, изменены учетные данные) для отзыва доступа к учетным записям.

Attribute Value
Anomaly type: UEBA
Data sources: Журналы аудита Microsoft Entra
Тактика MITRE ATT&CK: Impact
Методы MITRE ATT&CK: T1531 — отзыв доступа к учетной записи
Activity: Основной каталог, управление пользователем, сброс пароля пользователя

Вернитесь к списку | аномалий UEBAНазад в начало

Аномальное предоставление привилегий

Description: Adversaries may add adversary-controlled credentials for Azure Service Principals in addition to existing legitimate credentials to maintain persistent access to victim Azure accounts.

Attribute Value
Anomaly type: UEBA
Data sources: Журналы аудита Microsoft Entra
Тактика MITRE ATT&CK: Persistence
Методы MITRE ATT&CK: T1098 — операции с учетной записью
Вспомогательные методы MITRE ATT&CK: Дополнительные учетные данные субъекта-службы Azure
Activity: Подготовка учетных записей, управление приложением, добавление назначения роли приложения субъекту-службе

Вернитесь к списку | аномалий UEBAНазад в начало

Anomalous Sign-in

Description: Adversaries may steal the credentials of a specific user or service account using Credential Access techniques or capture credentials earlier in their reconnaissance process through social engineering for means of gaining Persistence.

Attribute Value
Anomaly type: UEBA
Data sources: Журналы входов Microsoft Entra
Журналы безопасности Windows
Тактика MITRE ATT&CK: Persistence
Методы MITRE ATT&CK: T1078 — допустимые учетные записи
Activity: Идентификатор Microsoft Entra: Действие входа
Windows Security: Successful login (Event ID 4624)

Вернитесь к списку | аномалий UEBAНазад в начало

Аномалии на основе машинного обучения

Настраиваемые аномалии Microsoft Sentinel, основанные на машинном обучении, могут выявлять аномальное поведение с помощью шаблонов правил аналитики, которые можно сразу же использовать в работе. Хотя аномалии сами по себе не обязательно указывают на злонамеренное или даже подозрительное поведение, их можно использовать для улучшения обнаружения, расследования и поиска угроз.

Аномальные операции Azure

Description: This detection algorithm collects 21 days' worth of data on Azure operations grouped by user to train this ML model. Затем алгоритм генерирует аномалии в случае пользователей, которые выполняли последовательности операций, необычных в их рабочих областях. Обученная модель машинного обучения оценивает операции, выполняемые пользователем, и считает аномальными те, оценка которых превышает определенный порог.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: Журналы действий Azure
Тактика MITRE ATT&CK: Initial Access
Методы MITRE ATT&CK: T1190 — эксплойт общедоступного приложения

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Аномальное выполнение кода

Description: Attackers may abuse command and script interpreters to execute commands, scripts, or binaries. Эти интерфейсы и языки обеспечивают способы взаимодействия с компьютерными системами и представляют общие возможности на разных платформах.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: Журналы действий Azure
Тактика MITRE ATT&CK: Execution
Методы MITRE ATT&CK: T1059 — интерпретатор команд и скриптов

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Аномальное создание локальной учетной записи

Description: This algorithm detects anomalous local account creation on Windows systems. Злоумышленники могут создавать локальные учетные записи для сохранения доступа к целевым системам. Этот алгоритм анализирует действия пользователей по созданию локальных учетных записей за предыдущие 14 дней. Он ищет аналогичную активность в текущий день от пользователей, для которых ранее не были замечены действия. Вы можете настроить список разрешений, чтобы отфильтровать известных пользователей от активации этой аномалии.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: Журналы безопасности Windows
Тактика MITRE ATT&CK: Persistence
Методы MITRE ATT&CK: T1136 — создание учетной записи

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Аномальные действия пользователей в Office Exchange

Description: This machine learning model groups the Office Exchange logs on a per-user basis into hourly buckets. Мы определяем один час как сеанс. Модель обучается на поведении всех обычных (не администраторов) пользователей за предыдущие 7 дней. Это указывает на аномальные сеансы пользователей Office Exchange за последний день.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: Журнал действий Office (Exchange)
Тактика MITRE ATT&CK: Persistence
Collection
Методы MITRE ATT&CK: Collection:
T1114 — коллекция электронной почты
T1213 — данные из репозиториев сведений

Persistence:
T1098 — операции с учетной записью
T1136 — создание учетной записи
T1137 — запуск приложения Office
T1505 — компонент программного обеспечения сервера

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Попытка подбора на компьютере

Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per computer over the past day. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: Журналы безопасности Windows
Тактика MITRE ATT&CK: Credential Access
Методы MITRE ATT&CK: T1110 — метод перебора

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Попытка подбора учетной записи пользователя

Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account over the past day. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: Журналы безопасности Windows
Тактика MITRE ATT&CK: Credential Access
Методы MITRE ATT&CK: T1110 — метод перебора

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Попытка подбора учетной записи пользователя на тип попытки входа

Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per logon type over the past day. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: Журналы безопасности Windows
Тактика MITRE ATT&CK: Credential Access
Методы MITRE ATT&CK: T1110 — метод перебора

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Попытка подбора учетной записи пользователя на причину сбоя

Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per failure reason over the past day. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: Журналы безопасности Windows
Тактика MITRE ATT&CK: Credential Access
Методы MITRE ATT&CK: T1110 — метод перебора

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Обнаружение поведения сгенерированного сетевого маяка на компьютере

Description: This algorithm identifies beaconing patterns from network traffic connection logs based on recurrent time delta patterns. Любое сетевое подключение к ненадежным общедоступным сетям с повторяющимися дельтами времени является признаком обратных вызовов вредоносного ПО или попыток кражи данных. Алгоритм вычисляет дельту времени между последовательными сетевыми подключениями между одним и тем же IP-адресом источника и IP-адресом назначения, а также количество подключений в последовательности дельты времени между одними и теми же источниками и назначениями. Процент отправки маяков рассчитывается как количество подключений в последовательности дельты времени по отношению к общему количеству подключений за день.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: CommonSecurityLog (PAN)
Тактика MITRE ATT&CK: Команды и управление
Методы MITRE ATT&CK: T1071 — протокол прикладного уровня
T1132 — кодировка данных
T1001 — обфускация данных
T1568 — динамическое разрешение
T1573 — зашифрованный канал
T1008 — резервные каналы
T1104 — многоэтапные каналы
T1095 — протокол не прикладного уровня
T1571 — нестандартный порт
T1572 — туннелирование протоколов
T1090 — прокси-сервер
T1205 — сигнализация трафика
T1102 — веб-служба

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Алгоритм создания доменов (DGA) в доменах DNS

Description: This machine learning model indicates potential DGA domains from the past day in the DNS logs. Алгоритм применяется к записям DNS, которые разрешаются в адреса IPv4 и IPv6.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: DNS Events
Тактика MITRE ATT&CK: Команды и управление
Методы MITRE ATT&CK: T1568 — динамическое разрешение

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Чрезмерное скачивание через Palo Alto GlobalProtect

Description: This algorithm detects unusually high volume of download per user account through the Palo Alto VPN solution. Модель обучается на журналах VPN за предыдущие 14 дней. Это указывает на аномально высокое количество операций скачивания за прошедший день.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: CommonSecurityLog (PAN VPN)
Тактика MITRE ATT&CK: Exfiltration
Методы MITRE ATT&CK: T1030 — ограничения размера передачи данных
T1041 — кража через канал C2
T1011 — кража через другие сетевые носители
T1567 — кража через веб-службу
T1029 — запланированная передача
T1537 — передача данных в облачную учетную запись

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Чрезмерная отправка через Palo Alto GlobalProtect

Description: This algorithm detects unusually high volume of upload per user account through the Palo Alto VPN solution. Модель обучается на журналах VPN за предыдущие 14 дней. Это указывает на аномально высокий объем отправок за прошедший день.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: CommonSecurityLog (PAN VPN)
Тактика MITRE ATT&CK: Exfiltration
Методы MITRE ATT&CK: T1030 — ограничения размера передачи данных
T1041 — кража через канал C2
T1011 — кража через другие сетевые носители
T1567 — кража через веб-службу
T1029 — запланированная передача
T1537 — передача данных в облачную учетную запись

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Алгоритм потенциального создания доменов (DGA) для доменов DNS следующего уровня

Description: This machine learning model indicates the next-level domains (third-level and up) of the domain names from the last day of DNS logs that are unusual. Потенциально это может быть результатом выполнения алгоритма генерации доменов (DGA). Алгоритм применяется к записям DNS, которые разрешаются в адреса IPv4 и IPv6.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: DNS Events
Тактика MITRE ATT&CK: Команды и управление
Методы MITRE ATT&CK: T1568 — динамическое разрешение

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Подозрительное количество вызовов API AWS с исходного IP-адреса, отличного от IP-адреса AWS

Description: This algorithm detects an unusually high volume of AWS API calls per user account per workspace, from source IP addresses outside of AWS's source IP ranges, within the last day. Модель обучается на событиях журнала AWS CloudTrail по исходному IP-адресу за предыдущий 21 день. Это действие может указывать на то, что учетная запись пользователя скомпрометирована.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: Журналы AWS CloudTrail
Тактика MITRE ATT&CK: Initial Access
Методы MITRE ATT&CK: T1078 — допустимые учетные записи

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Подозрительное количество вызовов API записи AWS из учетной записи пользователя

Description: This algorithm detects an unusually high volume of AWS write API calls per user account within the last day. Модель обучается на событиях журнала AWS CloudTrail по учетной записи пользователя за предыдущий 21 день. Это действие может указывать на то, что учетная запись скомпрометирована.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: Журналы AWS CloudTrail
Тактика MITRE ATT&CK: Initial Access
Методы MITRE ATT&CK: T1078 — допустимые учетные записи

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Подозрительное количество попыток входа на компьютер

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per computer over the past day. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: Журналы безопасности Windows
Тактика MITRE ATT&CK: Initial Access
Методы MITRE ATT&CK: T1078 — допустимые учетные записи

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Подозрительное количество попыток входа на компьютер с использованием маркера с повышенными привилегиями

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per computer, over the last day. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: Журналы безопасности Windows
Тактика MITRE ATT&CK: Initial Access
Методы MITRE ATT&CK: T1078 — допустимые учетные записи

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Подозрительное количество попыток входа в учетную запись пользователя

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account over the past day. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: Журналы безопасности Windows
Тактика MITRE ATT&CK: Initial Access
Методы MITRE ATT&CK: T1078 — допустимые учетные записи

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Подозрительное количество попыток входа в учетную запись пользователя по типам входа

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account, by different logon types, over the past day. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: Журналы безопасности Windows
Тактика MITRE ATT&CK: Initial Access
Методы MITRE ATT&CK: T1078 — допустимые учетные записи

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Подозрительное количество попыток входа в учетную запись пользователя с использованием маркера с повышенными привилегиями

Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per user account, over the last day. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.

Attribute Value
Anomaly type: Настраиваемое машинное обучение
Data sources: Журналы безопасности Windows
Тактика MITRE ATT&CK: Initial Access
Методы MITRE ATT&CK: T1078 — допустимые учетные записи

Вернуться к списку аномалий на основе машинного обучения | Назад в начало

Next steps