你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文列出了 Microsoft Sentinel 使用不同机器学习模型检测的异常情况。
异常情况检测的工作方式是分析用户在一段时间内在环境中的行为并构建合法活动的基线。 建立基线后,任何超出正常参数的活动都将被视为异常,因此被视为可疑活动。
Microsoft Sentinel 使用两种不同的模型来创建基线和检测异常情况。
注意
由于结果质量低,截至 2024 年 3 月 26 日,以下异常情况检测已终止:
- 域信誉 Palo Alto 异常情况
- 一天内通过 Palo Alto GlobalProtect 在多个区域登录
重要
Microsoft Sentinel 在 Microsoft Defender 门户中正式发布,包括没有 Microsoft Defender XDR 或 E5 许可证的客户。
从 2026 年 7 月开始,仅 Defender 门户中支持 Microsoft Sentinel,并且使用 Azure 门户的任何剩余客户将自动重定向。
建议在 Azure 中使用 Microsoft Sentinel 的任何客户开始计划 过渡到 Defender 门户 ,以获取 Microsoft Defender 提供的完整统一安全作体验。 有关详细信息,请参阅 为所有Microsoft Sentinel 客户规划迁移到 Microsoft Defender 门户。
UEBA 异常情况
Sentinel UEBA 基于动态基线检测异常情况,这些基线是根据各种数据输入为每个实体创建的。 每个实体的基线行为是根据其自身的历史活动、其对等方的活动以及整个组织的活动设置的。 可以通过关联不同的属性(例如操作类型、地理位置、设备、资源、ISP 等)来触发异常情况。
必须 启用 UEBA 功能 才能检测到 UEBA 异常。
异常的帐户访问权限删除
说明:攻击者可能会通过阻止访问合法用户使用的帐户来中断系统和网络资源的可用性。 攻击者可能会删除、锁定或操控帐户(例如,通过更改其凭据)以删除对该帐户的访问权限。
| 特征 | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Azure 活动日志 |
| MITRE ATT&CK 策略: | 影响 |
| MITRE ATT&CK 方法: | T1531 - 删除帐户访问权限 |
| 活动: | Microsoft.Authorization/roleAssignments/delete 注销 |
异常的帐户创建
说明:攻击者可能会创建一个帐户来保持对目标系统的访问权限。 获得足够的访问权限级别后,可以创建此类帐户来建立辅助凭据访问权限,而无需在系统上部署永久性远程访问工具。
| 特征 | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Microsoft Entra 审核日志 |
| MITRE ATT&CK 策略: | 持久性 |
| MITRE ATT&CK 方法: | T1136 - 创建帐户 |
| MITRE ATT&CK 子方法: | 云帐户 |
| 活动: | 核心目录/用户管理/添加用户 |
异常的帐户删除
说明:攻击者可能会通过禁止访问合法用户使用的帐户来中断系统和网络资源的可用性。 可能会删除、锁定或操控帐户(例如更改凭据)来删除对帐户的访问权限。
| 特征 | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Microsoft Entra 审核日志 |
| MITRE ATT&CK 策略: | 影响 |
| MITRE ATT&CK 方法: | T1531 - 删除帐户访问权限 |
| 活动: | 核心目录/用户管理/删除用户 核心目录/设备/删除用户 核心目录/用户管理/删除用户 |
异常的帐户操控
说明:攻击者可能会操控帐户以保持对目标系统的访问权限。 这些操作包括将新帐户添加到高特权组。 例如,Dragonfly 2.0 将新建的帐户添加到了管理员组以保持提升的访问权限。 以下查询生成一个输出,其中包含对特权角色执行“更新用户”(名称更改)的、影响范围广泛的所有用户,或那些首次更改了用户的用户。
| 特征 | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Microsoft Entra 审核日志 |
| MITRE ATT&CK 策略: | 持久性 |
| MITRE ATT&CK 方法: | T1098 - 帐户操控 |
| 活动: | 核心目录/用户管理/更新用户 |
异常的代码执行 (UEBA)
说明:攻击者可能滥用命令和脚本解释器来执行命令、脚本或二进制文件。 这些接口和语言提供了与计算机系统交互的方式,并且是许多不同平台共有的功能。
| 特征 | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Azure 活动日志 |
| MITRE ATT&CK 策略: | 执行 |
| MITRE ATT&CK 方法: | T1059 - 命令和脚本解释器 |
| MITRE ATT&CK 子方法: | PowerShell |
| 活动: | Microsoft.Compute/virtualMachines/runCommand/action |
异常的数据销毁
说明:攻击者可能会销毁特定系统或网络中的大量数据和文件,以中断系统、服务和网络资源的可用性。 通过覆盖本地和远程驱动器上的文件或数据,数据销毁有可能导致取证技术无法恢复存储的数据。
| 特征 | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Azure 活动日志 |
| MITRE ATT&CK 策略: | 影响 |
| MITRE ATT&CK 方法: | T1485 - 数据销毁 |
| 活动: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/图像/删除 Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/删除 Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/工作流/删除 Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete(删除操作路径) Microsoft.Storage/storageAccounts/fileServices/fileshares/files/删除 Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete(删除) |
异常的防御机制修改
说明:攻击者可能会禁用安全工具,以避免对他们的工具和活动进行检测。
| 特征 | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Azure 活动日志 |
| MITRE ATT&CK 策略: | 防御规避 |
| MITRE ATT&CK 方法: | T1562 - 削弱防御 |
| MITRE ATT&CK 子方法: | 禁用或修改工具 禁用或修改云防火墙 |
| 活动: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Note: 删除网络安全组命令 微软网络/DDoS保护计划/删除 Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete (删除应用安全组) Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/删除 |
异常的失败登录
说明:事先不知道系统或环境中的合法凭据的攻击者可能会猜测密码以企图访问帐户。
| 特征 | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Microsoft Entra 登录日志 Windows 安全性日志 |
| MITRE ATT&CK 策略: | 凭据访问 |
| MITRE ATT&CK 方法: | T1110 - 暴力破解 |
| 活动: |
Microsoft Entra ID: 登录活动 Windows 安全性:失败的登录(事件 ID 4625) |
异常的密码重置
说明:攻击者可能会通过禁止访问合法用户使用的帐户来中断系统和网络资源的可用性。 可能会删除、锁定或操控帐户(例如更改凭据)来删除对帐户的访问权限。
| 特征 | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Microsoft Entra 审核日志 |
| MITRE ATT&CK 策略: | 影响 |
| MITRE ATT&CK 方法: | T1531 - 删除帐户访问权限 |
| 活动: | 核心目录/用户管理/用户密码重置 |
异常的特权授予
说明:除了添加现有的合法凭据外,攻击者还可能为 Azure 服务主体添加由他们控制的凭据,以持久保留对受害 Azure 帐户的访问权限。
| 特征 | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Microsoft Entra 审核日志 |
| MITRE ATT&CK 策略: | 持久性 |
| MITRE ATT&CK 方法: | T1098 - 帐户操控 |
| MITRE ATT&CK 子方法: | 其他 Azure 服务主体凭据 |
| 活动: | 帐户预配/应用程序管理/将应用角色分配添加到服务主体 |
异常登录
说明:攻击者可能会使用凭据访问技术窃取特定用户或服务帐户的凭据,或者在侦查过程早期通过社交工程捕获凭据以获取持久访问权限。
| 特征 | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Microsoft Entra 登录日志 Windows 安全性日志 |
| MITRE ATT&CK 策略: | 持久性 |
| MITRE ATT&CK 方法: | T1078 - 有效帐户 |
| 活动: |
Microsoft Entra ID: 登录活动 Windows 安全性:成功的登录(事件 ID 4624) |
基于机器学习的异常情况
Microsoft Sentinel 的可自定义的、基于机器学习的异常可以通过分析规则模板来识别异常行为,这些模板可以开箱即用。 虽然单单异常本身不一定表明存在恶意行为,甚至是可疑行为,但可用于提高检测、调查和威胁搜寻。
- 异常 Azure作
- 异常代码执行
- 创建异常本地帐户
- Office Exchange 中的异常用户活动
- 尝试的计算机暴力破解
- 尝试的用户帐户暴力破解
- 每个登录类型尝试的用户帐户暴力破解
- 每个失败原因尝试的用户帐户暴力破解
- 检测计算机生成的网络信标行为
- DNS 域上的域生成算法 (DGA)
- 通过 Palo Alto GlobalProtect 过度下载
- 通过 Palo Alto GlobalProtect 过度上传
- 下一级 DNS 域上的潜在域生成算法 (DGA)
- 来自非 AWS 源 IP 地址的可疑 AWS API 调用量
- 来自用户帐户的可疑 AWS 写入 API 调用量
- 登录到计算机的可疑数量
- 使用提升的令牌登录到计算机的可疑数量
- 对用户帐户的登录量可疑
- 登录类型对用户帐户的可疑登录数量
- 使用提升的令牌登录到用户帐户的可疑数量
异常的 Azure 操作
说明:此检测算法收集 21 天的 Azure 操作数据(按用户分组)来训练此 ML 模型。 然后,如果用户在其工作区中执行不常见的操作序列,该算法会生成异常情况。 已训练的 ML 模型对用户执行的操作进行评分,并分析那些评分大于定义的阈值的操作。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Azure 活动日志 |
| MITRE ATT&CK 策略: | 初始访问 |
| MITRE ATT&CK 方法: | T1190 - 恶意利用面向公众的应用程序 |
异常的代码执行
说明:攻击者可能滥用命令和脚本解释器来执行命令、脚本或二进制文件。 这些接口和语言提供了与计算机系统交互的方式,并且是许多不同平台共有的功能。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Azure 活动日志 |
| MITRE ATT&CK 策略: | 执行 |
| MITRE ATT&CK 方法: | T1059 - 命令和脚本解释器 |
异常的本地帐户创建
说明:此算法检测 Windows 系统上的异常本地帐户创建活动。 攻击者可能会创建本地帐户来保持对目标系统的访问权限。 该算法分析用户在过去 14 天内的本地帐户创建活动。 它会在历史活动中查找是否有未曾见过的用户在当天执行了类似的活动。 可以指定一个允许列表来筛选已知用户,以免对其触发此异常情况。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 持久性 |
| MITRE ATT&CK 方法: | T1136 - 创建帐户 |
Office Exchange 中的异常用户活动
说明:此机器学习模型按用户将 Office Exchange 日志分组到每小时桶中。 我们将一小时定义为一个会话。 该模型是根据所有普通(非管理员)用户在过去 7 天的行为训练的。 它指示过去一天的异常用户 Office Exchange 会话。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Office 活动日志 (Exchange) |
| MITRE ATT&CK 策略: | 持久性 集合 |
| MITRE ATT&CK 方法: | 收集: T1114 - 电子邮件收集 T1213 - 来自信息存储库的数据 持久性: T1098 - 帐户操控 T1136 - 创建帐户 T1137 - Office 应用程序启动 T1505 - 服务器软件组件 |
企图暴力破解计算机
说明:此算法检测过去一天内每台计算机上是否发生异常多的失败登录尝试(安全事件 ID 4625)。 该模型是根据过去 21 天的 Windows 安全事件日志训练的。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 凭据访问 |
| MITRE ATT&CK 方法: | T1110 - 暴力破解 |
企图暴力破解用户帐户
说明:此算法检测过去一天内每个用户帐户是否发生异常多的失败登录尝试(安全事件 ID 4625)。 该模型是根据过去 21 天的 Windows 安全事件日志训练的。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 凭据访问 |
| MITRE ATT&CK 方法: | T1110 - 暴力破解 |
按登录类型列出的用户帐户暴力破解企图
说明:此算法检测过去一天内每种登录类型的每个用户帐户是否发生异常多的失败登录尝试(安全事件 ID 4625)。 该模型是根据过去 21 天的 Windows 安全事件日志训练的。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 凭据访问 |
| MITRE ATT&CK 方法: | T1110 - 暴力破解 |
按失败原因列出的用户帐户暴力破解企图
说明:此算法检测过去一天内每种失败原因的每个用户帐户是否发生异常多的失败登录尝试(安全事件 ID 4625)。 该模型是根据过去 21 天的 Windows 安全事件日志训练的。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 凭据访问 |
| MITRE ATT&CK 方法: | T1110 - 暴力破解 |
检测计算机生成的网络信标行为
说明:此算法根据重复时间增量模式在网络流量连接日志中识别信标模式。 在重复时间增量中与不受信任的公用网络建立任何网络连接都表明存在恶意软件回调或数据外泄企图。 该算法将计算在同一源 IP 与目标 IP 之间连续建立网络连接的时间增量,以及在时间增量序列中在同一源与目标之间建立的连接数。 计算出的信标百分比是时间增量序列中的连接数与一天中的总连接数之比。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | CommonSecurityLog (PAN) |
| MITRE ATT&CK 策略: | 命令和控制 |
| MITRE ATT&CK 方法: | T1071 - 应用层协议 T1132 - 数据编码 T1001 - 数据模糊处理 T1568 - 动态分辨率 T1573 - 加密通道 T1008 - 回退通道 T1104 - 多级通道 T1095 - 非应用层协议 T1571 - 非标准端口 T1572 - 协议隧道 T1090 - 代理 T1205 - 流量信令 T1102 - Web 服务 |
DNS 域上的域生成算法 (DGA)
说明:此机器学习模型在 DNS 日志中指示过去一天的潜在 DGA 域。 该算法适用于解析为 IPv4 和 IPv6 地址的 DNS 记录。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | DNS 事件 |
| MITRE ATT&CK 策略: | 命令和控制 |
| MITRE ATT&CK 方法: | T1568 - 动态分辨率 |
通过 Palo Alto GlobalProtect 过度下载
说明:此算法通过 Palo Alto VPN 解决方案检测每个用户帐户的异常多的下载次数。 该模型是根据前 14 天的 VPN 日志训练的。 它指示过去一天的异常多的下载次数。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK 策略: | 外泄 |
| MITRE ATT&CK 方法: | T1030 - 数据传输大小限制 T1041 - 通过 C2 通道外泄 T1011 - 通过其他网络媒体外泄 T1567 - 通过 Web 服务外泄 T1029 - 计划性转移 T1537 - 将数据传输到云帐户 |
通过 Palo Alto GlobalProtect 过度上传
说明:此算法通过 Palo Alto VPN 解决方案检测每个用户帐户的异常多的上传次数。 该模型是根据前 14 天的 VPN 日志训练的。 它指示过去一天的异常多的上传次数。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK 策略: | 外泄 |
| MITRE ATT&CK 方法: | T1030 - 数据传输大小限制 T1041 - 通过 C2 通道外泄 T1011 - 通过其他网络媒体外泄 T1567 - 通过 Web 服务外泄 T1029 - 计划性转移 T1537 - 将数据传输到云帐户 |
下一级 DNS 域上的潜在域生成算法 (DGA)
说明:此机器学习模型在过去一天的 DNS 日志中指示域名的不常见下一级域(三级及以上)。 它们可能是域生成算法 (DGA) 的输出。 异常情况适用于解析为 IPv4 和 IPv6 地址的 DNS 记录。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | DNS 事件 |
| MITRE ATT&CK 策略: | 命令和控制 |
| MITRE ATT&CK 方法: | T1568 - 动态分辨率 |
从非 AWS 源 IP 地址发出的可疑 AWS API 调用次数
说明:此算法检测每个工作区的每个用户帐户在过去一天内是否从 AWS 源 IP 范围外的源 IP 地址发出了异常多的 AWS API 调用。 该模型在根据前 21 天的 AWS CloudTrail 日志事件按源 IP 地址训练的。 此活动可能表示用户帐户已遭入侵。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | AWS CloudTrail 日志 |
| MITRE ATT&CK 策略: | 初始访问 |
| MITRE ATT&CK 方法: | T1078 - 有效帐户 |
从某个用户帐户发出的可疑 AWS 写入 API 调用次数
说明:此算法检测每个用户帐户在过去一天内是否发出了异常多的 AWS 写入 API 调用。 该模型在根据前 21 天的 AWS CloudTrail 日志事件按用户帐户训练的。 此活动可能表示帐户已遭入侵。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | AWS CloudTrail 日志 |
| MITRE ATT&CK 策略: | 初始访问 |
| MITRE ATT&CK 方法: | T1078 - 有效帐户 |
登录到计算机的可疑次数
说明:此算法检测过去一天内每台计算机上是否发生异常多的成功登录(安全事件 ID 4624)。 该模型是根据过去 21 天的 Windows 安全事件日志训练的。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 初始访问 |
| MITRE ATT&CK 方法: | T1078 - 有效帐户 |
使用权限提升的令牌登录到计算机的可疑次数
说明:此算法检测过去一天内每台计算机上是否发生异常多的使用管理特权的成功登录事件(安全事件 ID 4624)。 该模型是根据过去 21 天的 Windows 安全事件日志训练的。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 初始访问 |
| MITRE ATT&CK 方法: | T1078 - 有效帐户 |
登录到用户帐户的可疑次数
说明:此算法检测过去一天内每个用户帐户是否发生异常多的成功登录(安全事件 ID 4624)。 该模型是根据过去 21 天的 Windows 安全事件日志训练的。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 初始访问 |
| MITRE ATT&CK 方法: | T1078 - 有效帐户 |
按登录类型列出的登录到用户帐户的可疑次数
说明:此算法检测过去一天内每个用户帐户通过不同的登录类型成功实现了异常多的登录(安全事件 ID 4624)。 该模型是根据过去 21 天的 Windows 安全事件日志训练的。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 初始访问 |
| MITRE ATT&CK 方法: | T1078 - 有效帐户 |
使用权限提升的令牌登录到用户帐户的可疑次数
说明:此算法检测过去一天内每个用户帐户是否发生异常多的使用管理特权的成功登录事件(安全事件 ID 4624)。 该模型是根据过去 21 天的 Windows 安全事件日志训练的。
| 特征 | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 初始访问 |
| MITRE ATT&CK 方法: | T1078 - 有效帐户 |