Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Sentinel, belirli bir süre boyunca bir ortamdaki kullanıcıların davranışlarını analiz ederek ve meşru etkinlik temeli oluşturarak anomalileri algılar. Temel oluşturulduktan sonra, normal parametrelerin dışındaki tüm etkinlikler anormal ve dolayısıyla şüpheli olarak kabul edilir.
Microsoft Sentinel, taban çizgileri oluşturmak ve anomalileri algılamak için iki model kullanır.
Bu makalede, Microsoft Sentinel'in çeşitli makine öğrenmesi modellerini kullanarak algılamış olduğu anomaliler listelenir.
Anomaliler tablosunda:
- Sütun,
rulenameSentinel'in her anomaliyi tanımlamak için kullandığı kuralı gösterir. - Sütun,
scorebeklenen davranıştan sapma derecesini ölçen 0 ile 1 arasında bir sayısal değer içerir. Yüksek puanlar taban çizgisinden daha büyük bir sapma olduğunu gösterir ve gerçek anomaliler olma olasılığı daha yüksektir. Düşük puanlar yine de anormal olabilir, ancak önemli veya eyleme dönüştürülebilir olma olasılığı daha düşüktür.
Note
Bu anomali algılamaları, düşük sonuç kalitesi nedeniyle 26 Mart 2024'te sona erer:
- Etki Alanı Saygınlığı Palo Alto anomalisi
- Palo Alto GlobalProtect aracılığıyla tek bir günde çok bölgeli oturum açma işlemleri
Important
Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmayan müşteriler de dahil olmak üzere Microsoft Defender portalında genel olarak kullanılabilir.
Temmuz 2026'dan itibaren Azure portalında Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilecek ve yalnızca Defender portalında Microsoft Sentinel'i kullanacaktır. Temmuz 2025'den itibaren birçok yeni müşteri otomatik olarak eklenir ve Defender portalına yönlendirilir.
Azure portalında Hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz. Daha fazla bilgi için bkz. Taşıma Zamanı: Daha fazla güvenlik için Microsoft Sentinel'in Azure portalını kullanımdan kaldırma.
UEBA anomalileri
Sentinel UEBA, çeşitli veri girişlerinde her varlık için oluşturulan dinamik taban çizgilerini temel alan anomalileri algılar. Her varlığın temel davranışı kendi geçmiş etkinliklerine, eşlerinin ve kuruluşun bütün olarak sahip olduğu etkinliklere göre ayarlanır. Anomaliler eylem türü, coğrafi konum, cihaz, kaynak, ISS ve daha fazlası gibi farklı özniteliklerin bağıntısı ile tetiklenebilir.
UEBA anomalilerini algılamak için Sentinel çalışma alanınızda UEBA ve anomali algılamayı etkinleştirmeniz gerekir.
UEBA, anomalileri şu anomali kurallarına göre algılar:
- UEBA Anormal Hesap Erişimini Kaldırma
- UEBA Anormal Hesap Oluşturma
- UEBA Anormal Hesap Silme
- UEBA Anormal Hesap Düzenlemesi
- GCP Denetim Günlüklerinde UEBA Anormal Etkinliği (Önizleme)
- Okta_CL'da UEBA Anormal Etkinliği (Önizleme)
- UEBA Anormal Kimlik Doğrulaması (Önizleme)
- UEBA Anormal Kod Yürütme
- UEBA Anormal Veri Yok Etme
- Amazon S3'ten UEBA Anormal Veri Aktarımı (Önizleme)
- UEBA Anormal Savunma Mekanizması Değişikliği
- UEBA Anormal Oturum Açma Başarısız Oldu
- AwsCloudTrail'de UEBA Anormal Federasyon veya SAML Kimlik Etkinliği (Önizleme)
- AwsCloudTrail'de UEBA Anormal IAM Ayrıcalık Değişikliği (Önizleme)
- AwsCloudTrail'de UEBA Anormal Oturum Açma (Önizleme)
- Okta_CL'da UEBA Anormal MFA Hataları (Önizleme)
- UEBA Anormal Parola Sıfırlama
- UEBA Anormal Ayrıcalığı Verildi
- AwsCloudTrail'de UEBA Anormal Gizli Dizi veya KMS Anahtar Erişimi (Önizleme)
- UEBA Anormal Oturum Açma
- AwsCloudTrail'de UEBA Anormal STS AssumeRole Davranışı (Önizleme)
Sentinel, kiracınıza ve kaynağınıza özgü güvenilirlik puanına sahip UEBA anomalilerini tanımlamak için BehaviorAnalytics tablosundaki zenginleştirilmiş verileri kullanır.
UEBA Anormal Hesap Erişimini Kaldırma
Açıklama: Saldırgan, geçerli kullanıcılar tarafından kullanılan hesaplara erişimi engelleyerek sistem ve ağ kaynaklarının kullanılabilirliğini kesintiye uğratabilir. Saldırgan, erişimi kaldırmak için hesabı silebilir, kilitler veya değiştirebilir (örneğin, kimlik bilgilerini değiştirerek).
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Azure Etkinlik günlükleri |
| MITRE ATT&CK taktikleri: | Impact |
| MITRE ATT&CK teknikleri: | T1531 - Hesap Erişimini Kaldırma |
| Activity: | Microsoft.Authorization/roleAssignments/delete Oturumu Kapat |
UEBA anomalileri listesine | geri dönBaşa dön
UEBA Anormal Hesap Oluşturma
Açıklama: Saldırganlar, hedeflenen sistemlere erişimi korumak için bir hesap oluşturabilir. Yeterli erişim düzeyiyle, bu tür hesaplar oluşturmak, sistemde kalıcı uzaktan erişim araçlarının dağıtılması gerekmeden ikincil kimlik bilgilerine erişim oluşturmak için kullanılabilir.
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Microsoft Entra denetim günlükleri |
| MITRE ATT&CK taktikleri: | Persistence |
| MITRE ATT&CK teknikleri: | T1136 - Hesap Oluştur |
| MITRE ATT&CK alt teknikleri: | Bulut Hesabı |
| Activity: | Çekirdek Dizin/UserManagement/Kullanıcı ekle |
UEBA anomalileri listesine | geri dönBaşa dön
UEBA Anormal Hesap Silme
Açıklama: Saldırganlar, geçerli kullanıcılar tarafından kullanılan hesaplara erişimi engelleyerek sistem ve ağ kaynaklarının kullanılabilirliğini kesintiye uğratabilir. Hesaplara erişimi kaldırmak için hesaplar silinebilir, kilitlenebilir veya değiştirilebilir (örneğin, değiştirilen kimlik bilgileri).
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Microsoft Entra denetim günlükleri |
| MITRE ATT&CK taktikleri: | Impact |
| MITRE ATT&CK teknikleri: | T1531 - Hesap Erişimini Kaldırma |
| Activity: | Core Directory/UserManagement/Delete user Çekirdek Dizin/Cihaz/Kullanıcı silme Core Directory/UserManagement/Delete user |
UEBA anomalileri listesine | geri dönBaşa dön
UEBA Anormal Hesap Düzenlemesi
Açıklama: Saldırganlar hesapları işleyip hedef sistemlere erişimi koruyabilir. Bu eylemler, yüksek ayrıcalıklı gruplara yeni hesaplar eklemeyi içerir. Örneğin Dragonfly 2.0, yükseltilmiş erişimi korumak için yöneticiler grubuna yeni oluşturulan hesaplar eklendi. Aşağıdaki sorgu, ayrıcalıklı role "Kullanıcıyı güncelleştir" (ad değişikliği) gerçekleştiren tüm high-Blast Radius kullanıcılarının veya kullanıcıları ilk kez değiştiren kullanıcıların çıkışını oluşturur.
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Microsoft Entra denetim günlükleri |
| MITRE ATT&CK taktikleri: | Persistence |
| MITRE ATT&CK teknikleri: | T1098 - Hesap Düzenleme |
| Activity: | Core Directory/UserManagement/Update user |
UEBA anomalileri listesine | geri dönBaşa dön
GCP Denetim Günlüklerinde UEBA Anormal Etkinliği (Önizleme)
Açıklama: GCP Denetim Günlüklerindeki IAM ile ilgili girişleri temel alarak Google Cloud Platform (GCP) kaynaklarına başarısız erişim denemeleri. Bu hatalar yanlış yapılandırılmış izinleri, yetkisiz hizmetlere erişme girişimlerini veya hizmet hesapları aracılığıyla ayrıcalık yoklama veya kalıcılık gibi erken aşama saldırgan davranışlarını yansıtabilir.
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | GCP Denetim Günlükleri |
| MITRE ATT&CK taktikleri: | Keşif |
| MITRE ATT&CK teknikleri: | T1087 – Hesap Bulma, T1069 – İzin Grupları Bulma |
| Activity: | iam.googleapis.com |
UEBA anomalileri listesine | geri dönBaşa dön
Okta_CL'da UEBA Anormal Etkinliği (Önizleme)
Açıklama: Okta'da oturum açma kurallarında yapılan değişiklikler, çok faktörlü kimlik doğrulaması (MFA) zorlaması veya yönetim ayrıcalıkları gibi beklenmeyen kimlik doğrulama etkinliği veya güvenlikle ilgili yapılandırma değişiklikleri. Bu tür etkinlikler, kimlik güvenlik denetimlerini değiştirme veya ayrıcalıklı değişiklikler aracılığıyla erişimi koruma girişimlerini gösterebilir.
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Okta Bulut Günlükleri |
| MITRE ATT&CK taktikleri: | Kalıcılık, Ayrıcalık Yükseltme |
| MITRE ATT&CK teknikleri: | T1098 - Hesap Düzenleme, T1556 - Kimlik Doğrulama İşlemlerini Değiştirme |
| Activity: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
UEBA anomalileri listesine | geri dönBaşa dön
UEBA Anormal Kimlik Doğrulaması (Önizleme)
Açıklama: Cihaz oturum açma işlemleri, yönetilen kimlik oturum açma işlemleri ve Microsoft Entra Id'den hizmet sorumlusu kimlik doğrulamaları dahil olmak üzere Uç Nokta için Microsoft Defender ve Microsoft Entra Id'den gelen sinyaller arasında olağan dışı kimlik doğrulama etkinliği. Bu anomaliler kimlik bilgilerinin kötüye kullanılmasını, insan kimliğinin kötüye kullanılmaması veya tipik erişim desenlerinin dışında yanal hareket denemelerini önerebilir.
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Uç Nokta için Microsoft Defender, Microsoft Entra Id |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
| Activity: |
UEBA anomalileri listesine | geri dönBaşa dön
UEBA Anormal Kod Yürütme
Açıklama: Saldırganlar komutları, betikleri veya ikili dosyaları yürütmek için komut ve betik yorumlayıcılarını kötüye kullanılabilir. Bu arabirimler ve diller, bilgisayar sistemleriyle etkileşim kurmanın yollarını sağlar ve birçok farklı platformda ortak bir özelliktir.
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Azure Etkinlik günlükleri |
| MITRE ATT&CK taktikleri: | Execution |
| MITRE ATT&CK teknikleri: | T1059 - Komut ve Betik Yorumlayıcısı |
| MITRE ATT&CK alt teknikleri: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
UEBA anomalileri listesine | geri dönBaşa dön
UEBA Anormal Veri Yok Etme
Açıklama: Saldırganlar, sistemler, hizmetler ve ağ kaynaklarının kullanılabilirliğini kesintiye uğratmak için belirli sistemlerdeki veya ağdaki çok sayıdaki verileri ve dosyaları yok edebilir. Verilerin yok edilmesi, yerel ve uzak sürücülerdeki dosyaların veya verilerin üzerine yazılması yoluyla adli tekniklerle depolanan verileri geri alınamaz hale getirir.
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Azure Etkinlik günlükleri |
| MITRE ATT&CK taktikleri: | Impact |
| MITRE ATT&CK teknikleri: | T1485 - Veri Yok Etme |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
UEBA anomalileri listesine | geri dönBaşa dön
Amazon S3'ten UEBA Anormal Veri Aktarımı (Önizleme)
Açıklama: Amazon Simple Storage Service'ten (S3) veri erişimi veya indirme desenlerindeki sapmalar. Anomali, her kullanıcı, hizmet ve kaynak için davranış taban çizgileri kullanılarak belirlenir ve veri aktarım hacmi, sıklığı ve erişilen nesne sayısı geçmiş normlarla karşılaştırılır. İlk kez toplu erişim, olağan dışı olarak büyük veri alma işlemleri veya yeni konumlardan veya uygulamalardan etkinlik gibi önemli sapmalar olası veri sızdırma, ilke ihlalleri veya güvenliği aşılmış kimlik bilgilerinin kötüye kullanımına işaret edebilir.
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | AWS CloudTrail günlükleri |
| MITRE ATT&CK taktikleri: | Exfiltration |
| MITRE ATT&CK teknikleri: | T1567 - Web Hizmeti Üzerinden Sızdırma |
| Activity: | PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload |
UEBA anomalileri listesine | geri dönBaşa dön
UEBA Anormal Savunma Mekanizması Değişikliği
Açıklama: Saldırganlar, araçlarının ve etkinliklerinin olası algılanmasından kaçınmak için güvenlik araçlarını devre dışı bırakabilir.
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Azure Etkinlik günlükleri |
| MITRE ATT&CK taktikleri: | Savunma Kaçamak |
| MITRE ATT&CK teknikleri: | T1562 - Zayıf Savunmalar |
| MITRE ATT&CK alt teknikleri: | Araçları Devre Dışı Bırakma veya Değiştirme Bulut Güvenlik Duvarı'nı devre dışı bırakma veya değiştirme |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
UEBA anomalileri listesine | geri dönBaşa dön
UEBA Anormal Oturum Açma Başarısız Oldu
Açıklama: Sistem veya ortamda yasal kimlik bilgileri hakkında önceden bilgi sahibi olmayan saldırganlar, hesaplara erişim girişiminde bulunmak için parolaları tahmin edebilir.
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Microsoft Entra oturum açma günlükleri günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Kimlik Bilgisi Erişimi |
| MITRE ATT&CK teknikleri: | T1110 - Deneme Yanılma |
| Activity: |
Microsoft Entra Id: Oturum açma etkinliği Windows Güvenliği: Başarısız oturum açma (Olay Kimliği 4625) |
UEBA anomalileri listesine | geri dönBaşa dön
AwsCloudTrail'de UEBA Anormal Federasyon veya SAML Kimlik Etkinliği (Önizleme)
Açıklama: Federasyon veya Güvenlik Onaylama İşaretleme Dili (SAML) tabanlı kimlikler tarafından ilk kez yapılan eylemler, tanınmayan coğrafi konumlar veya aşırı API çağrıları içeren olağan dışı etkinlik. Bu tür anomaliler oturum ele geçirmeyi veya federasyon kimlik bilgilerinin kötüye kullanımını gösterebilir.
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | AWS CloudTrail günlükleri |
| MITRE ATT&CK taktikleri: | İlk Erişim, Kalıcılık |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar, T1550 - Alternatif Kimlik Doğrulama Malzemesi Kullan |
| Activity: | UserAuthentication (EXTERNAL_IDP) |
UEBA anomalileri listesine | geri dönBaşa dön
AwsCloudTrail'de UEBA Anormal IAM Ayrıcalık Değişikliği (Önizleme)
Açıklama: Kimlik ve Erişim Yönetimi (IAM) yönetim davranışındaki roller, kullanıcılar ve grupların ilk kez oluşturulması, değiştirilmesi veya silinmesi ya da yeni satır içi veya yönetilen ilkelerin eki gibi sapmalar. Bunlar ayrıcalık yükseltme veya ilke kötüye kullanımına işaret edebilir.
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | AWS CloudTrail günlükleri |
| MITRE ATT&CK taktikleri: | Ayrıcalık Yükseltme, Kalıcılık |
| MITRE ATT&CK teknikleri: | T1136 - Hesap Oluştur, T1098 - Hesap Düzenleme |
| Activity: | iam.amazonaws.com, sso-directory.amazonaws.com üzerinde Oluşturma, Ekleme, Ekleme, Silme, Devre Dışı Bırakma, Yerleştirme ve Güncelleştirme işlemleri |
UEBA anomalileri listesine | geri dönBaşa dön
AwsCloudTrail'de UEBA Anormal Oturum Açma (Önizleme)
Açıklama: ConsoleLogin gibi CloudTrail olaylarını ve kimlik doğrulamasıyla ilgili diğer öznitelikleri temel alan Amazon Web Services (AWS) hizmetlerinde olağan dışı oturum açma etkinliği. Anomaliler coğrafi konum, cihaz parmak izi, ISS ve erişim yöntemi gibi özniteliklere göre kullanıcı davranışındaki sapmalarla belirlenir ve yetkisiz erişim girişimlerini veya olası ilke ihlallerini gösterebilir.
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | AWS CloudTrail günlükleri |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
| Activity: | ConsoleLogin |
UEBA anomalileri listesine | geri dönBaşa dön
Okta_CL'da UEBA Anormal MFA Hataları (Önizleme)
Açıklama: Okta'da başarısız MFA girişimlerinin olağan dışı desenleri. Bu anomaliler hesap kötüye kullanımı, kimlik bilgileri doldurma veya güvenilir cihaz mekanizmalarının yanlış kullanımından kaynaklanabilir ve genellikle çalınan kimlik bilgilerini test etme veya kimlik korumalarını yoklama gibi erken aşama saldırgan davranışları yansıtır.
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Okta Bulut Günlükleri |
| MITRE ATT&CK taktikleri: | Kalıcılık, Ayrıcalık Yükseltme |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar, T1556 - Kimlik Doğrulama İşlemlerini Değiştirme |
| Activity: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
UEBA anomalileri listesine | geri dönBaşa dön
UEBA Anormal Parola Sıfırlama
Açıklama: Saldırganlar, geçerli kullanıcılar tarafından kullanılan hesaplara erişimi engelleyerek sistem ve ağ kaynaklarının kullanılabilirliğini kesintiye uğratabilir. Hesaplara erişimi kaldırmak için hesaplar silinebilir, kilitlenebilir veya değiştirilebilir (örneğin, değiştirilen kimlik bilgileri).
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Microsoft Entra denetim günlükleri |
| MITRE ATT&CK taktikleri: | Impact |
| MITRE ATT&CK teknikleri: | T1531 - Hesap Erişimini Kaldırma |
| Activity: | Çekirdek Dizin/UserManagement/Kullanıcı parolası sıfırlama |
UEBA anomalileri listesine | geri dönBaşa dön
UEBA Anormal Ayrıcalığı Verildi
Açıklama: Saldırganlar, kurban Azure hesaplarına kalıcı erişimi sürdürmek için mevcut yasal kimlik bilgilerine ek olarak Azure Hizmet Sorumluları için saldırgan denetimli kimlik bilgileri ekleyebilir.
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Microsoft Entra denetim günlükleri |
| MITRE ATT&CK taktikleri: | Persistence |
| MITRE ATT&CK teknikleri: | T1098 - Hesap Düzenleme |
| MITRE ATT&CK alt teknikleri: | Ek Azure Hizmet Sorumlusu Kimlik Bilgileri |
| Activity: | Hesap sağlama/Uygulama Yönetimi/Hizmet sorumlusuna uygulama rolü ataması ekleme |
UEBA anomalileri listesine | geri dönBaşa dön
AwsCloudTrail'de UEBA Anormal Gizli Dizi veya KMS Anahtar Erişimi (Önizleme)
Açıklama: AWS Gizli Dizi Yöneticisi veya Anahtar Yönetimi Hizmeti (KMS) kaynaklarına şüpheli erişim. İlk kez erişim veya olağan dışı yüksek erişim sıklığı kimlik bilgisi toplama veya veri sızdırma girişimlerini gösterebilir.
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | AWS CloudTrail günlükleri |
| MITRE ATT&CK taktikleri: | Kimlik Bilgisi Erişimi, Koleksiyon |
| MITRE ATT&CK teknikleri: | T1555 - Parola Depolarından Kimlik Bilgileri |
| Activity: | GetSecretValue BatchGetSecretValue ListKeys ListSecrets PutSecretValue CreateSecret UpdateSecret DeleteSecret CreateKey PutKeyPolicy |
UEBA anomalileri listesine | geri dönBaşa dön
UEBA Anormal Oturum Açma
Açıklama: Saldırganlar, Kimlik Bilgisi Erişimi tekniklerini kullanarak belirli bir kullanıcı veya hizmet hesabının kimlik bilgilerini çalabilir veya Kalıcılık elde etmek için sosyal mühendislik aracılığıyla keşif sürecinde kimlik bilgilerini yakalayabilir.
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Microsoft Entra oturum açma günlükleri günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Persistence |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
| Activity: |
Microsoft Entra Id: Oturum açma etkinliği Windows Güvenliği: Başarılı oturum açma (Olay Kimliği 4624) |
UEBA anomalileri listesine | geri dönBaşa dön
AwsCloudTrail'de UEBA Anormal STS AssumeRole Davranışı (Önizleme)
Açıklama: AWS Güvenlik Belirteci Hizmeti (STS) AssumeRole eylemlerinin anormal kullanımı, özellikle ayrıcalıklı roller veya hesap arası erişim dahil. Tipik kullanımdan sapmalar ayrıcalık yükseltme veya kimlik güvenliğinin aşılmasına işaret edebilir.
| Attribute | Value |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | AWS CloudTrail günlükleri |
| MITRE ATT&CK taktikleri: | Ayrıcalık Yükseltme, SavunmaDan Kaçınma |
| MITRE ATT&CK teknikleri: | T1548 - Kötüye Kullanım Yükseltme Kontrol Mekanizması, T1078 - Geçerli Hesaplar |
| Activity: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity AssumeRoot |
UEBA anomalileri listesine | geri dönBaşa dön
Makine öğrenmesi tabanlı anomaliler
Microsoft Sentinel'in özelleştirilebilir, makine öğrenmesi tabanlı anomalileri, kullanıma hazır hale getirilebilen analiz kuralı şablonlarıyla anormal davranışları tanımlayabilir. Anomaliler kötü amaçlı ve hatta şüpheli davranışları tek başına belirtmese de algılamaları, araştırmaları ve tehdit avcılığını geliştirmek için kullanılabilir.
- Anormal Azure işlemleri
- Anormal Kod Yürütme
- Anormal yerel hesap oluşturma
- Office Exchange'de anormal kullanıcı etkinlikleri
- Bilgisayar deneme yanılma girişimi
- Deneme kullanıcı hesabı deneme yanılma girişimi
- Oturum açma türü başına deneme kullanıcı hesabı deneme yanılma girişimi
- Hata başına deneme kullanıcı hesabı deneme yanılma nedeni
- Makine tarafından oluşturulan ağ işaretleyici davranışını algılama
- DNS etki alanlarında etki alanı oluşturma algoritması (DGA)
- Palo Alto GlobalProtect aracılığıyla Aşırı İndirme
- Palo Alto GlobalProtect aracılığıyla aşırı yüklemeler
- Üst düzey DNS Etki Alanlarında olası etki alanı oluşturma algoritması (DGA)
- AWS dışı kaynak IP adresinden yapılan şüpheli AWS API çağrıları hacmi
- Kullanıcı hesabından yapılan şüpheli AWS yazma API çağrıları hacmi
- Bilgisayarda şüpheli oturum açma hacmi
- Yükseltilmiş belirteci olan bilgisayarda şüpheli oturum açma hacmi
- Kullanıcı hesabında şüpheli oturum açma hacmi
- Oturum açma türlerine göre kullanıcı hesabında şüpheli oturum açma hacmi
- Yükseltilmiş belirteci olan kullanıcı hesabında şüpheli oturum açma hacmi
Anormal Azure işlemleri
Açıklama: Bu algılama algoritması, bu ML modelini eğitmek için kullanıcıya göre gruplandırılmış Azure işlemlerinde 21 günlük verileri toplar. Daha sonra algoritma, çalışma alanlarında sık rastlanmayan işlem dizileri gerçekleştiren kullanıcılar söz konusu olduğunda anomaliler oluşturur. Eğitilen ML modeli, kullanıcı tarafından gerçekleştirilen işlemleri puanlar ve puanı tanımlı eşikten büyük olanları anormal olarak değerlendirir.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | Azure Etkinlik günlükleri |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1190 - Genel Kullanıma Yönelik Uygulamadan Yararlanma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Anormal Kod Yürütme
Açıklama: Saldırganlar komutları, betikleri veya ikili dosyaları yürütmek için komut ve betik yorumlayıcılarını kötüye kullanılabilir. Bu arabirimler ve diller, bilgisayar sistemleriyle etkileşim kurmanın yollarını sağlar ve birçok farklı platformda ortak bir özelliktir.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | Azure Etkinlik günlükleri |
| MITRE ATT&CK taktikleri: | Execution |
| MITRE ATT&CK teknikleri: | T1059 - Komut ve Betik Yorumlayıcısı |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Anormal yerel hesap oluşturma
Açıklama: Bu algoritma, Windows sistemlerinde anormal yerel hesap oluşturmayı algılar. Saldırganlar, hedeflenen sistemlere erişimi korumak için yerel hesaplar oluşturabilir. Bu algoritma, kullanıcılar tarafından önceki 14 gün içinde yerel hesap oluşturma etkinliğini analiz eder. Daha önce geçmiş etkinlikte görünmeyen kullanıcılardan gelen benzer etkinlikleri geçerli günde arar. Bilinen kullanıcıların bu anomaliyi tetikledikten sonra filtrelenmesi için bir izin verilenler listesi belirtebilirsiniz.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Persistence |
| MITRE ATT&CK teknikleri: | T1136 - Hesap Oluştur |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Office Exchange'de anormal kullanıcı etkinlikleri
Açıklama: Bu makine öğrenmesi modeli, Office Exchange günlüklerini kullanıcı başına saatlik demetler halinde gruplandırır. Bir saati oturum olarak tanımlarız. Model, tüm normal (yönetici olmayan) kullanıcılar arasında önceki 7 günlük davranışa göre eğitilir. Son gün içindeki anormal kullanıcı Office Exchange oturumlarını gösterir.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | Office Etkinlik günlüğü (Exchange) |
| MITRE ATT&CK taktikleri: | Persistence Collection |
| MITRE ATT&CK teknikleri: |
Collection: T1114 - E-posta Koleksiyonu T1213 - Bilgi Depolarından Alınan Veriler Persistence: T1098 - Hesap Düzenleme T1136 - Hesap Oluştur T1137 - Office Uygulaması Başlatma T1505 - Sunucu Yazılımı Bileşeni |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Bilgisayar deneme yanılma girişimi
Açıklama: Bu algoritma, son bir gün içinde bilgisayar başına olağan dışı derecede yüksek miktarda başarısız oturum açma girişimi (güvenlik olayı kimliği 4625) algılar. Model, windows güvenlik olay günlüklerinin son 21 gününde eğitilir.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Kimlik Bilgisi Erişimi |
| MITRE ATT&CK teknikleri: | T1110 - Deneme Yanılma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Deneme kullanıcı hesabı deneme yanılma girişimi
Açıklama: Bu algoritma, son bir gün içinde kullanıcı hesabı başına olağan dışı derecede yüksek miktarda başarısız oturum açma girişimi (güvenlik olayı kimliği 4625) algılar. Model, windows güvenlik olay günlüklerinin son 21 gününde eğitilir.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Kimlik Bilgisi Erişimi |
| MITRE ATT&CK teknikleri: | T1110 - Deneme Yanılma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Oturum açma türü başına deneme kullanıcı hesabı deneme yanılma girişimi
Açıklama: Bu algoritma, son bir gün içinde kullanıcı hesabı başına her oturum açma türü için olağan dışı düzeyde yüksek miktarda başarısız oturum açma girişimi (güvenlik olayı kimliği 4625) algılar. Model, windows güvenlik olay günlüklerinin son 21 gününde eğitilir.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Kimlik Bilgisi Erişimi |
| MITRE ATT&CK teknikleri: | T1110 - Deneme Yanılma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Hata başına deneme kullanıcı hesabı deneme yanılma nedeni
Açıklama: Bu algoritma, son bir gün içindeki hata nedeniyle kullanıcı hesabı başına olağan dışı düzeyde yüksek miktarda başarısız oturum açma girişimi (güvenlik olayı kimliği 4625) algılar. Model, windows güvenlik olay günlüklerinin son 21 gününde eğitilir.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Kimlik Bilgisi Erişimi |
| MITRE ATT&CK teknikleri: | T1110 - Deneme Yanılma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Makine tarafından oluşturulan ağ işaretleyici davranışını algılama
Açıklama: Bu algoritma, yinelenen zaman aralığı desenlerini temel alarak ağ trafiği bağlantı günlüklerindeki işaret desenlerini tanımlar. Tekrarlanan delta zamanlarında güvenilmeyen genel ağlara yönelik herhangi bir ağ bağlantısı, kötü amaçlı yazılım geri çağırmalarının veya veri sızdırma girişimlerinin göstergesidir. Algoritma, aynı kaynak IP ile hedef IP arasındaki ardışık ağ bağlantıları arasındaki zaman farkını ve aynı kaynaklar ve hedefler arasındaki bir zaman aralığı dizisindeki bağlantı sayısını hesaplar. İşaretleme yüzdesi, bir gün içindeki toplam bağlantılara karşı zaman değişim dizisindeki bağlantılar olarak hesaplanır.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | CommonSecurityLog (PAN) |
| MITRE ATT&CK taktikleri: | Komut ve Denetim |
| MITRE ATT&CK teknikleri: | T1071 - Uygulama Katmanı Protokolü T1132 - Veri Kodlama T1001 - Veri Gizleme T1568 - Dinamik Çözünürlük T1573 - Şifrelenmiş Kanal T1008 - Geri Dönüş Kanalları T1104 - Çok Aşamalı Kanallar T1095 - Uygulama Dışı Katman Protokolü T1571 - Standart Olmayan Bağlantı Noktası T1572 - Protokol Tüneli T1090 - Ara Sunucu T1205 - Trafik Sinyali T1102 - Web Hizmeti |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
DNS etki alanlarında etki alanı oluşturma algoritması (DGA)
Açıklama: Bu makine öğrenmesi modeli, DNS günlüklerinde geçmiş güne ait olası DGA etki alanlarını gösterir. Algoritma, IPv4 ve IPv6 adreslerine çözümleyen DNS kayıtları için geçerlidir.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | DNS Olayları |
| MITRE ATT&CK taktikleri: | Komut ve Denetim |
| MITRE ATT&CK teknikleri: | T1568 - Dinamik Çözünürlük |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Palo Alto GlobalProtect aracılığıyla Aşırı İndirme
Açıklama: Bu algoritma, Palo Alto VPN çözümü aracılığıyla kullanıcı hesabı başına olağan dışı yüksek miktarda indirme algılar. Model, VPN günlüklerinin önceki 14 gününde eğitilir. Son bir gün içindeki anormal yüksek miktarda indirmeyi gösterir.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK taktikleri: | Exfiltration |
| MITRE ATT&CK teknikleri: | T1030 - Veri Aktarımı Boyut Sınırları T1041 - C2 Kanalı Üzerinden Sızdırma T1011 - Diğer Ağ Ortamı Üzerinden Sızdırma T1567 - Web Hizmeti Üzerinden Sızdırma T1029 - Zamanlanmış Aktarım T1537 - Bulut Hesabına Veri Aktarma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Palo Alto GlobalProtect aracılığıyla aşırı yüklemeler
Açıklama: Bu algoritma, Palo Alto VPN çözümü aracılığıyla kullanıcı hesabı başına olağan dışı yüksek miktarda karşıya yükleme algılar. Model, VPN günlüklerinin önceki 14 gününde eğitilir. Son bir gün içinde anormal yüksek hacimli karşıya yükleme olduğunu gösterir.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK taktikleri: | Exfiltration |
| MITRE ATT&CK teknikleri: | T1030 - Veri Aktarımı Boyut Sınırları T1041 - C2 Kanalı Üzerinden Sızdırma T1011 - Diğer Ağ Ortamı Üzerinden Sızdırma T1567 - Web Hizmeti Üzerinden Sızdırma T1029 - Zamanlanmış Aktarım T1537 - Bulut Hesabına Veri Aktarma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Üst düzey DNS Etki Alanlarında olası etki alanı oluşturma algoritması (DGA)
Açıklama: Bu makine öğrenmesi modeli, DNS günlüklerinin son günündeki etki alanı adlarının olağan dışı olan bir üst düzey etki alanını (üçüncü düzey ve yukarı) gösterir. Bunlar potansiyel olarak bir etki alanı oluşturma algoritmasının (DGA) çıkışı olabilir. Anomali, IPv4 ve IPv6 adreslerine çözümleyen DNS kayıtları için geçerlidir.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | DNS Olayları |
| MITRE ATT&CK taktikleri: | Komut ve Denetim |
| MITRE ATT&CK teknikleri: | T1568 - Dinamik Çözünürlük |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
AWS dışı kaynak IP adresinden yapılan şüpheli AWS API çağrıları hacmi
Açıklama: Bu algoritma, son gün içinde AWS'nin kaynak IP aralıklarının dışındaki kaynak IP adreslerinden çalışma alanı başına kullanıcı hesabı başına olağan dışı yüksek hacimli AWS API çağrıları algılar. Model, AWS CloudTrail günlük olaylarının son 21 gününde kaynak IP adresine göre eğitilir. Bu etkinlik, kullanıcı hesabının gizliliğinin ihlal edilmiş olduğunu gösterebilir.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | AWS CloudTrail günlükleri |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Kullanıcı hesabından yapılan şüpheli AWS yazma API çağrıları hacmi
Açıklama: Bu algoritma, son gün içinde kullanıcı hesabı başına olağan dışı düzeyde yüksek miktarda AWS yazma API çağrısı algılar. Model, kullanıcı hesabına göre AWS CloudTrail günlük olaylarının son 21 gününde eğitilir. Bu etkinlik hesabın gizliliğinin ihlal edilmiş olduğunu gösterebilir.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | AWS CloudTrail günlükleri |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Bilgisayarda şüpheli oturum açma hacmi
Açıklama: Bu algoritma, son bir gün içinde bilgisayar başına olağan dışı derecede yüksek miktarda başarılı oturum açma (güvenlik olayı kimliği 4624) algılar. Model, önceki 21 günlük Windows Güvenliği olay günlüklerinde eğitilir.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Yükseltilmiş belirteci olan bilgisayarda şüpheli oturum açma hacmi
Açıklama: Bu algoritma, son gün içinde bilgisayar başına yönetim ayrıcalıklarına sahip olağan dışı derecede yüksek miktarda başarılı oturum açma (güvenlik olayı kimliği 4624) algılar. Model, önceki 21 günlük Windows Güvenliği olay günlüklerinde eğitilir.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Kullanıcı hesabında şüpheli oturum açma hacmi
Açıklama: Bu algoritma, son bir gün içinde kullanıcı hesabı başına olağan dışı derecede yüksek miktarda başarılı oturum açma (güvenlik olayı kimliği 4624) algılar. Model, önceki 21 günlük Windows Güvenliği olay günlüklerinde eğitilir.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Oturum açma türlerine göre kullanıcı hesabında şüpheli oturum açma hacmi
Açıklama: Bu algoritma, son bir gün içinde kullanıcı hesabı başına farklı oturum açma türlerine göre olağan dışı derecede yüksek miktarda başarılı oturum açma (güvenlik olayı kimliği 4624) algılar. Model, önceki 21 günlük Windows Güvenliği olay günlüklerinde eğitilir.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Yükseltilmiş belirteci olan kullanıcı hesabında şüpheli oturum açma hacmi
Açıklama: Bu algoritma, son gün içinde kullanıcı hesabı başına yönetim ayrıcalıklarıyla olağan dışı derecede yüksek miktarda başarılı oturum açma (güvenlik olayı kimliği 4624) algılar. Model, önceki 21 günlük Windows Güvenliği olay günlüklerinde eğitilir.
| Attribute | Value |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Sonraki Adımlar
Microsoft Sentinel'de makine öğrenmesi tarafından oluşturulan anomaliler hakkında bilgi edinin.
Anomali kurallarıyla çalışmayı öğrenin.
Microsoft Sentinel ile olayları araştırma.