Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Microsoft Sentinel'in farklı makine öğrenmesi modellerini kullanarak algılayan anomaliler listelenir.
Anomali algılama, belirli bir süre boyunca bir ortamdaki kullanıcıların davranışını analiz ederek ve meşru etkinliğin temelini oluşturarak çalışır. Temel oluşturulduktan sonra, normal parametrelerin dışındaki tüm etkinlikler anormal ve dolayısıyla şüpheli olarak kabul edilir.
Microsoft Sentinel, taban çizgileri oluşturmak ve anomalileri algılamak için iki farklı model kullanır.
Note
Aşağıdaki anomali algılamaları, düşük sonuç kalitesi nedeniyle 26 Mart 2024'te sona erer:
- Etki Alanı Saygınlığı Palo Alto anomalisi
- Palo Alto GlobalProtect aracılığıyla tek bir günde çok bölgeli oturum açma işlemleri
Important
Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmayan müşteriler de dahil olmak üzere Microsoft Defender portalında genel olarak kullanılabilir.
Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.
Azure portalında Hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz. Daha fazla bilgi için bkz. Taşıma Zamanı: Daha fazla güvenlik için Microsoft Sentinel'in Azure portalını kullanımdan kaldırma.
UEBA anomalies
Sentinel UEBA, çeşitli veri girişlerinde her varlık için oluşturulan dinamik taban çizgilerini temel alan anomalileri algılar. Her varlığın temel davranışı kendi geçmiş etkinliklerine, eşlerinin ve kuruluşun bütün olarak sahip olduğu etkinliklere göre ayarlanır. Anomaliler eylem türü, coğrafi konum, cihaz, kaynak, ISS ve daha fazlası gibi farklı özniteliklerin bağıntısı ile tetiklenebilir.
UEBA anomalilerinin algılanması için UEBA özelliğini etkinleştirmeniz gerekir.
- Anormal Hesap Erişimini Kaldırma
- Anormal Hesap Oluşturma
- Anormal Hesap Silme
- Anormal Hesap Düzenleme
- Anormal Kod Yürütme (UEBA)
- Anormal Veri Yok Etme
- Anormal Savunma Mekanizması Değişikliği
- Anormal Başarısız Oturum Açma
- Anormal Parola Sıfırlama
- Anormal Ayrıcalık Verildi
- Anomalous Sign-in
Anormal Hesap Erişimini Kaldırma
Description: An attacker may interrupt the availability of system and network resources by blocking access to accounts used by legitimate users. Saldırgan, erişimi kaldırmak için hesabı silebilir, kilitler veya değiştirebilir (örneğin, kimlik bilgilerini değiştirerek).
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Azure Etkinlik günlükleri |
| MITRE ATT&CK taktikleri: | Impact |
| MITRE ATT&CK teknikleri: | T1531 - Hesap Erişimini Kaldırma |
| Activity: | Microsoft.Authorization/roleAssignments/delete Log Out |
UEBA anomalileri listesine | geri dönBaşa dön
Anormal Hesap Oluşturma
Description: Adversaries may create an account to maintain access to targeted systems. Yeterli erişim düzeyiyle, bu tür hesaplar oluşturmak, sistemde kalıcı uzaktan erişim araçlarının dağıtılması gerekmeden ikincil kimlik bilgilerine erişim oluşturmak için kullanılabilir.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra denetim günlükleri |
| MITRE ATT&CK taktikleri: | Persistence |
| MITRE ATT&CK teknikleri: | T1136 - Hesap Oluştur |
| MITRE ATT&CK alt teknikleri: | Cloud Account |
| Activity: | Çekirdek Dizin/UserManagement/Kullanıcı ekle |
UEBA anomalileri listesine | geri dönBaşa dön
Anormal Hesap Silme
Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Hesaplara erişimi kaldırmak için hesaplar silinebilir, kilitlenebilir veya değiştirilebilir (örneğin, değiştirilen kimlik bilgileri).
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra denetim günlükleri |
| MITRE ATT&CK taktikleri: | Impact |
| MITRE ATT&CK teknikleri: | T1531 - Hesap Erişimini Kaldırma |
| Activity: | Core Directory/UserManagement/Delete user Çekirdek Dizin/Cihaz/Kullanıcı silme Core Directory/UserManagement/Delete user |
UEBA anomalileri listesine | geri dönBaşa dön
Anormal Hesap Düzenleme
Description: Adversaries may manipulate accounts to maintain access to target systems. Bu eylemler, yüksek ayrıcalıklı gruplara yeni hesaplar eklemeyi içerir. Örneğin Dragonfly 2.0, yükseltilmiş erişimi korumak için yöneticiler grubuna yeni oluşturulan hesaplar eklendi. Aşağıdaki sorgu, ayrıcalıklı role "Kullanıcıyı güncelleştir" (ad değişikliği) gerçekleştiren tüm high-Blast Radius kullanıcılarının veya kullanıcıları ilk kez değiştiren kullanıcıların çıkışını oluşturur.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra denetim günlükleri |
| MITRE ATT&CK taktikleri: | Persistence |
| MITRE ATT&CK teknikleri: | T1098 - Hesap Düzenleme |
| Activity: | Core Directory/UserManagement/Update user |
UEBA anomalileri listesine | geri dönBaşa dön
Anormal Kod Yürütme (UEBA)
Description: Adversaries may abuse command and script interpreters to execute commands, scripts, or binaries. Bu arabirimler ve diller, bilgisayar sistemleriyle etkileşim kurmanın yollarını sağlar ve birçok farklı platformda ortak bir özelliktir.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Azure Etkinlik günlükleri |
| MITRE ATT&CK taktikleri: | Execution |
| MITRE ATT&CK teknikleri: | T1059 - Komut ve Betik Yorumlayıcısı |
| MITRE ATT&CK alt teknikleri: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
UEBA anomalileri listesine | geri dönBaşa dön
Anormal Veri Yok Etme
Description: Adversaries may destroy data and files on specific systems or in large numbers on a network to interrupt availability to systems, services, and network resources. Verilerin yok edilmesi, yerel ve uzak sürücülerdeki dosyaların veya verilerin üzerine yazılması yoluyla adli tekniklerle depolanan verileri geri alınamaz hale getirir.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Azure Etkinlik günlükleri |
| MITRE ATT&CK taktikleri: | Impact |
| MITRE ATT&CK teknikleri: | T1485 - Veri Yok Etme |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
UEBA anomalileri listesine | geri dönBaşa dön
Anormal Savunma Mekanizması Değişikliği
Description: Adversaries may disable security tools to avoid possible detection of their tools and activities.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Azure Etkinlik günlükleri |
| MITRE ATT&CK taktikleri: | Defense Evasion |
| MITRE ATT&CK teknikleri: | T1562 - Zayıf Savunmalar |
| MITRE ATT&CK alt teknikleri: | Araçları Devre Dışı Bırakma veya Değiştirme Bulut Güvenlik Duvarı'nı devre dışı bırakma veya değiştirme |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
UEBA anomalileri listesine | geri dönBaşa dön
Anormal Başarısız Oturum Açma
Description: Adversaries with no prior knowledge of legitimate credentials within the system or environment may guess passwords to attempt access to accounts.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra oturum açma günlükleri günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Credential Access |
| MITRE ATT&CK teknikleri: | T1110 - Deneme Yanılma |
| Activity: |
Microsoft Entra Id: Oturum açma etkinliği Windows Security: Failed login (Event ID 4625) |
UEBA anomalileri listesine | geri dönBaşa dön
Anormal Parola Sıfırlama
Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. Hesaplara erişimi kaldırmak için hesaplar silinebilir, kilitlenebilir veya değiştirilebilir (örneğin, değiştirilen kimlik bilgileri).
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra denetim günlükleri |
| MITRE ATT&CK taktikleri: | Impact |
| MITRE ATT&CK teknikleri: | T1531 - Hesap Erişimini Kaldırma |
| Activity: | Çekirdek Dizin/UserManagement/Kullanıcı parolası sıfırlama |
UEBA anomalileri listesine | geri dönBaşa dön
Anormal Ayrıcalık Verildi
Description: Adversaries may add adversary-controlled credentials for Azure Service Principals in addition to existing legitimate credentials to maintain persistent access to victim Azure accounts.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra denetim günlükleri |
| MITRE ATT&CK taktikleri: | Persistence |
| MITRE ATT&CK teknikleri: | T1098 - Hesap Düzenleme |
| MITRE ATT&CK alt teknikleri: | Ek Azure Hizmet Sorumlusu Kimlik Bilgileri |
| Activity: | Hesap sağlama/Uygulama Yönetimi/Hizmet sorumlusuna uygulama rolü ataması ekleme |
UEBA anomalileri listesine | geri dönBaşa dön
Anomalous Sign-in
Description: Adversaries may steal the credentials of a specific user or service account using Credential Access techniques or capture credentials earlier in their reconnaissance process through social engineering for means of gaining Persistence.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra oturum açma günlükleri günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Persistence |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
| Activity: |
Microsoft Entra Id: Oturum açma etkinliği Windows Security: Successful login (Event ID 4624) |
UEBA anomalileri listesine | geri dönBaşa dön
Makine öğrenmesi tabanlı anomaliler
Microsoft Sentinel'in özelleştirilebilir, makine öğrenmesi tabanlı anomalileri, kullanıma hazır hale getirilebilen analiz kuralı şablonlarıyla anormal davranışları tanımlayabilir. Anomaliler kötü amaçlı ve hatta şüpheli davranışları tek başına belirtmese de algılamaları, araştırmaları ve tehdit avcılığını geliştirmek için kullanılabilir.
- Anormal Azure işlemleri
- Anormal Kod Yürütme
- Anormal yerel hesap oluşturma
- Office Exchange'de anormal kullanıcı etkinlikleri
- Bilgisayar deneme yanılma girişimi
- Deneme kullanıcı hesabı deneme yanılma girişimi
- Oturum açma türü başına deneme kullanıcı hesabı deneme yanılma girişimi
- Hata başına deneme kullanıcı hesabı deneme yanılma nedeni
- Makine tarafından oluşturulan ağ işaretleyici davranışını algılama
- DNS etki alanlarında etki alanı oluşturma algoritması (DGA)
- Palo Alto GlobalProtect aracılığıyla Aşırı İndirme
- Palo Alto GlobalProtect aracılığıyla aşırı yüklemeler
- Üst düzey DNS Etki Alanlarında olası etki alanı oluşturma algoritması (DGA)
- AWS dışı kaynak IP adresinden yapılan şüpheli AWS API çağrıları hacmi
- Kullanıcı hesabından yapılan şüpheli AWS yazma API çağrıları hacmi
- Bilgisayarda şüpheli oturum açma hacmi
- Yükseltilmiş belirteci olan bilgisayarda şüpheli oturum açma hacmi
- Kullanıcı hesabında şüpheli oturum açma hacmi
- Oturum açma türlerine göre kullanıcı hesabında şüpheli oturum açma hacmi
- Yükseltilmiş belirteci olan kullanıcı hesabında şüpheli oturum açma hacmi
Anormal Azure işlemleri
Description: This detection algorithm collects 21 days' worth of data on Azure operations grouped by user to train this ML model. Daha sonra algoritma, çalışma alanlarında sık rastlanmayan işlem dizileri gerçekleştiren kullanıcılar söz konusu olduğunda anomaliler oluşturur. Eğitilen ML modeli, kullanıcı tarafından gerçekleştirilen işlemleri puanlar ve puanı tanımlı eşikten büyük olanları anormal olarak değerlendirir.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | Azure Etkinlik günlükleri |
| MITRE ATT&CK taktikleri: | Initial Access |
| MITRE ATT&CK teknikleri: | T1190 - Genel Kullanıma Yönelik Uygulamadan Yararlanma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Anormal Kod Yürütme
Description: Attackers may abuse command and script interpreters to execute commands, scripts, or binaries. Bu arabirimler ve diller, bilgisayar sistemleriyle etkileşim kurmanın yollarını sağlar ve birçok farklı platformda ortak bir özelliktir.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | Azure Etkinlik günlükleri |
| MITRE ATT&CK taktikleri: | Execution |
| MITRE ATT&CK teknikleri: | T1059 - Komut ve Betik Yorumlayıcısı |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Anormal yerel hesap oluşturma
Description: This algorithm detects anomalous local account creation on Windows systems. Saldırganlar, hedeflenen sistemlere erişimi korumak için yerel hesaplar oluşturabilir. Bu algoritma, kullanıcılar tarafından önceki 14 gün içinde yerel hesap oluşturma etkinliğini analiz eder. Daha önce geçmiş etkinlikte görünmeyen kullanıcılardan gelen benzer etkinlikleri geçerli günde arar. Bilinen kullanıcıların bu anomaliyi tetikledikten sonra filtrelenmesi için bir izin verilenler listesi belirtebilirsiniz.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Persistence |
| MITRE ATT&CK teknikleri: | T1136 - Hesap Oluştur |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Office Exchange'de anormal kullanıcı etkinlikleri
Description: This machine learning model groups the Office Exchange logs on a per-user basis into hourly buckets. Bir saati oturum olarak tanımlarız. Model, tüm normal (yönetici olmayan) kullanıcılar arasında önceki 7 günlük davranışa göre eğitilir. Son gün içindeki anormal kullanıcı Office Exchange oturumlarını gösterir.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | Office Etkinlik günlüğü (Exchange) |
| MITRE ATT&CK taktikleri: | Persistence Collection |
| MITRE ATT&CK teknikleri: |
Collection: T1114 - E-posta Koleksiyonu T1213 - Bilgi Depolarından Alınan Veriler Persistence: T1098 - Hesap Düzenleme T1136 - Hesap Oluştur T1137 - Office Uygulaması Başlatma T1505 - Sunucu Yazılımı Bileşeni |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Bilgisayar deneme yanılma girişimi
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per computer over the past day. Model, windows güvenlik olay günlüklerinin son 21 gününde eğitilir.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Credential Access |
| MITRE ATT&CK teknikleri: | T1110 - Deneme Yanılma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Deneme kullanıcı hesabı deneme yanılma girişimi
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account over the past day. Model, windows güvenlik olay günlüklerinin son 21 gününde eğitilir.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Credential Access |
| MITRE ATT&CK teknikleri: | T1110 - Deneme Yanılma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Oturum açma türü başına deneme kullanıcı hesabı deneme yanılma girişimi
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per logon type over the past day. Model, windows güvenlik olay günlüklerinin son 21 gününde eğitilir.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Credential Access |
| MITRE ATT&CK teknikleri: | T1110 - Deneme Yanılma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Hata başına deneme kullanıcı hesabı deneme yanılma nedeni
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per failure reason over the past day. Model, windows güvenlik olay günlüklerinin son 21 gününde eğitilir.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Credential Access |
| MITRE ATT&CK teknikleri: | T1110 - Deneme Yanılma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Makine tarafından oluşturulan ağ işaretleyici davranışını algılama
Description: This algorithm identifies beaconing patterns from network traffic connection logs based on recurrent time delta patterns. Tekrarlanan delta zamanlarında güvenilmeyen genel ağlara yönelik herhangi bir ağ bağlantısı, kötü amaçlı yazılım geri çağırmalarının veya veri sızdırma girişimlerinin göstergesidir. Algoritma, aynı kaynak IP ile hedef IP arasındaki ardışık ağ bağlantıları arasındaki zaman farkını ve aynı kaynaklar ve hedefler arasındaki bir zaman aralığı dizisindeki bağlantı sayısını hesaplar. İşaretleme yüzdesi, bir gün içindeki toplam bağlantılara karşı zaman değişim dizisindeki bağlantılar olarak hesaplanır.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | CommonSecurityLog (PAN) |
| MITRE ATT&CK taktikleri: | Komut ve Denetim |
| MITRE ATT&CK teknikleri: | T1071 - Uygulama Katmanı Protokolü T1132 - Veri Kodlama T1001 - Veri Gizleme T1568 - Dinamik Çözünürlük T1573 - Şifrelenmiş Kanal T1008 - Geri Dönüş Kanalları T1104 - Çok Aşamalı Kanallar T1095 - Uygulama Dışı Katman Protokolü T1571 - Standart Olmayan Bağlantı Noktası T1572 - Protokol Tüneli T1090 - Ara Sunucu T1205 - Trafik Sinyali T1102 - Web Hizmeti |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
DNS etki alanlarında etki alanı oluşturma algoritması (DGA)
Description: This machine learning model indicates potential DGA domains from the past day in the DNS logs. Algoritma, IPv4 ve IPv6 adreslerine çözümleyen DNS kayıtları için geçerlidir.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | DNS Events |
| MITRE ATT&CK taktikleri: | Komut ve Denetim |
| MITRE ATT&CK teknikleri: | T1568 - Dinamik Çözünürlük |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Palo Alto GlobalProtect aracılığıyla Aşırı İndirme
Description: This algorithm detects unusually high volume of download per user account through the Palo Alto VPN solution. Model, VPN günlüklerinin önceki 14 gününde eğitilir. Son bir gün içindeki anormal yüksek miktarda indirmeyi gösterir.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK taktikleri: | Exfiltration |
| MITRE ATT&CK teknikleri: | T1030 - Veri Aktarımı Boyut Sınırları T1041 - C2 Kanalı Üzerinden Sızdırma T1011 - Diğer Ağ Ortamı Üzerinden Sızdırma T1567 - Web Hizmeti Üzerinden Sızdırma T1029 - Zamanlanmış Aktarım T1537 - Bulut Hesabına Veri Aktarma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Palo Alto GlobalProtect aracılığıyla aşırı yüklemeler
Description: This algorithm detects unusually high volume of upload per user account through the Palo Alto VPN solution. Model, VPN günlüklerinin önceki 14 gününde eğitilir. Son bir gün içinde anormal yüksek hacimli karşıya yükleme olduğunu gösterir.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK taktikleri: | Exfiltration |
| MITRE ATT&CK teknikleri: | T1030 - Veri Aktarımı Boyut Sınırları T1041 - C2 Kanalı Üzerinden Sızdırma T1011 - Diğer Ağ Ortamı Üzerinden Sızdırma T1567 - Web Hizmeti Üzerinden Sızdırma T1029 - Zamanlanmış Aktarım T1537 - Bulut Hesabına Veri Aktarma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Üst düzey DNS Etki Alanlarında olası etki alanı oluşturma algoritması (DGA)
Description: This machine learning model indicates the next-level domains (third-level and up) of the domain names from the last day of DNS logs that are unusual. Bunlar potansiyel olarak bir etki alanı oluşturma algoritmasının (DGA) çıkışı olabilir. Anomali, IPv4 ve IPv6 adreslerine çözümleyen DNS kayıtları için geçerlidir.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | DNS Events |
| MITRE ATT&CK taktikleri: | Komut ve Denetim |
| MITRE ATT&CK teknikleri: | T1568 - Dinamik Çözünürlük |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
AWS dışı kaynak IP adresinden yapılan şüpheli AWS API çağrıları hacmi
Description: This algorithm detects an unusually high volume of AWS API calls per user account per workspace, from source IP addresses outside of AWS's source IP ranges, within the last day. Model, AWS CloudTrail günlük olaylarının son 21 gününde kaynak IP adresine göre eğitilir. Bu etkinlik, kullanıcı hesabının gizliliğinin ihlal edilmiş olduğunu gösterebilir.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | AWS CloudTrail günlükleri |
| MITRE ATT&CK taktikleri: | Initial Access |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Kullanıcı hesabından yapılan şüpheli AWS yazma API çağrıları hacmi
Description: This algorithm detects an unusually high volume of AWS write API calls per user account within the last day. Model, kullanıcı hesabına göre AWS CloudTrail günlük olaylarının son 21 gününde eğitilir. Bu etkinlik hesabın gizliliğinin ihlal edilmiş olduğunu gösterebilir.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | AWS CloudTrail günlükleri |
| MITRE ATT&CK taktikleri: | Initial Access |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Bilgisayarda şüpheli oturum açma hacmi
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per computer over the past day. Model, önceki 21 günlük Windows Güvenliği olay günlüklerinde eğitilir.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Initial Access |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Yükseltilmiş belirteci olan bilgisayarda şüpheli oturum açma hacmi
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per computer, over the last day. Model, önceki 21 günlük Windows Güvenliği olay günlüklerinde eğitilir.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Initial Access |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Kullanıcı hesabında şüpheli oturum açma hacmi
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account over the past day. Model, önceki 21 günlük Windows Güvenliği olay günlüklerinde eğitilir.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Initial Access |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Oturum açma türlerine göre kullanıcı hesabında şüpheli oturum açma hacmi
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account, by different logon types, over the past day. Model, önceki 21 günlük Windows Güvenliği olay günlüklerinde eğitilir.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Initial Access |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Yükseltilmiş belirteci olan kullanıcı hesabında şüpheli oturum açma hacmi
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per user account, over the last day. Model, önceki 21 günlük Windows Güvenliği olay günlüklerinde eğitilir.
| Attribute | Value |
|---|---|
| Anomaly type: | Özelleştirilebilir makine öğrenmesi |
| Data sources: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Initial Access |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dönBaşa dön
Next steps
Microsoft Sentinel'de makine öğrenmesi tarafından oluşturulan anomaliler hakkında bilgi edinin.
Anomali kurallarıyla çalışmayı öğrenin.
Investigate incidents with Microsoft Sentinel.