Microsoft Sentinel 機器學習引擎偵測到的異常
本文列出Microsoft Sentinel 使用不同機器學習模型偵測到的異常狀況。
異常偵測的運作方式是分析一段時間內環境中用戶的行為,並建構合法活動的基準。 建立基準之後,一般參數以外的任何活動都會被視為異常且因此可疑。
Microsoft Sentinel 會使用兩個不同的模型來建立基準並偵測異常。
注意
自 2024 年 3 月 26 日起,下列異常狀況偵測因結果品質不佳而中止:
- 網域信譽 Palo Alto 異常
- 透過 Palo Alto GlobalProtect 在單一天內的多區域登入
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中Microsoft統一的安全性作業平臺中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
UEBA 異常
Sentinel UEBA 會根據針對各種數據輸入為每個實體建立的動態基準來偵測異常。 每個實體的基準行為都是根據其本身的歷程記錄活動、其同儕節點的歷程記錄活動,以及組織整體的歷程記錄活動來設定。 異常狀況可能是由動作類型、地理位置、裝置、資源、ISP 等不同屬性的相互關聯所觸發。
您必須 啟用 UEBA 功能 ,才能偵測到 UEBA 異常。
異常帳戶存取移除
描述: 攻擊者可能會封鎖合法使用者所使用帳戶的存取,以中斷系統和網路資源的可用性。 攻擊者可能會刪除、鎖定或操作帳戶(例如,藉由變更其認證),以移除其存取權。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Azure 活動記錄 |
| MITRE ATT&CK 策略: | 影響 |
| MITRE ATT&CK 技術: | T1531 - 帳戶存取移除 |
| 活動: | Microsoft.Authorization/roleAssignments/delete 登出 |
建立異常帳戶
描述: 敵人可能會建立帳戶來維護目標系統的存取權。 使用足夠的存取層級,建立這類帳戶可用來建立次要認證存取,而不需要在系統上部署持續性遠端訪問工具。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 稽核記錄 |
| MITRE ATT&CK 策略: | 持續性 |
| MITRE ATT&CK 技術: | T1136 - 建立帳戶 |
| MITRE ATT&CK 子技術: | 雲端帳戶 |
| 活動: | Core Directory/UserManagement/新增使用者 |
異常帳戶刪除
描述: 敵人可能會藉由禁止存取合法使用者使用的帳戶來中斷系統與網路資源的可用性。 帳戶可能會遭到刪除、鎖定或操作(例如:已變更的認證),以移除帳戶的存取權。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 稽核記錄 |
| MITRE ATT&CK 策略: | 影響 |
| MITRE ATT&CK 技術: | T1531 - 帳戶存取移除 |
| 活動: | Core Directory/UserManagement/Delete 使用者 Core Directory/Device/Delete 使用者 Core Directory/UserManagement/Delete 使用者 |
異常帳戶操作
描述: 敵人可能會操作帳戶來維護目標系統的存取權。 這些動作包括將新帳戶新增至高許可權群組。 例如,Dragonfly 2.0 已將新建立的帳戶新增至系統管理員群組,以維持提高的存取權。 下列查詢會產生所有執行「更新使用者」(名稱變更)的高爆炸半徑用戶輸出給特殊許可權角色,或第一次變更用戶的輸出。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 稽核記錄 |
| MITRE ATT&CK 策略: | 持續性 |
| MITRE ATT&CK 技術: | T1098 - 帳戶操作 |
| 活動: | Core Directory/UserManagement/Update 使用者 |
例外程式代碼執行 (UEBA)
描述: 敵人可能會濫用命令和腳本解釋器來執行命令、腳本或二進位檔。 這些介面和語言提供與計算機系統互動的方式,而且是許多不同平臺的常見功能。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Azure 活動記錄 |
| MITRE ATT&CK 策略: | 執行 |
| MITRE ATT&CK 技術: | T1059 - 命令和腳本解釋器 |
| MITRE ATT&CK 子技術: | PowerShell |
| 活動: | Microsoft.Compute/virtualMachines/runCommand/action |
異常數據解構
描述: 敵人可能會終結特定系統上的數據和檔案,或在網路上大量中斷系統、服務和網路資源的可用性。 透過覆寫本機和遠端磁碟驅動器上的檔案或數據,數據解構可能會讓鑑識技術無法復原儲存的數據。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Azure 活動記錄 |
| MITRE ATT&CK 策略: | 影響 |
| MITRE ATT&CK 技術: | T1485 - 數據解構 |
| 活動: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
異常防禦機制修改
描述: 敵人可能會停用安全性工具,以避免偵測其工具和活動。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Azure 活動記錄 |
| MITRE ATT&CK 策略: | 防禦規避 |
| MITRE ATT&CK 技術: | T1562 - 損害防禦 |
| MITRE ATT&CK 子技術: | 停用或修改工具 停用或修改雲端防火牆 |
| 活動: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
異常失敗的登入
描述: 系統或環境中沒有合法認證的對手可能會猜測密碼嘗試存取帳戶。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 登入記錄 Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 認證存取權 |
| MITRE ATT&CK 技術: | T1110 - 暴力密碼破解 |
| 活動: | Microsoft項目標識碼: 登入活動 Windows 安全性:登入失敗 (事件識別碼 4625) |
異常密碼重設
描述: 敵人可能會藉由禁止存取合法使用者使用的帳戶來中斷系統與網路資源的可用性。 帳戶可能會遭到刪除、鎖定或操作(例如:已變更的認證),以移除帳戶的存取權。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 稽核記錄 |
| MITRE ATT&CK 策略: | 影響 |
| MITRE ATT&CK 技術: | T1531 - 帳戶存取移除 |
| 活動: | Core Directory/UserManagement/用戶密碼重設 |
授與異常許可權
描述: 敵人除了現有的合法認證之外,還可以為 Azure 服務主體新增受敵人控制的認證,以維持對受害者 Azure 帳戶的持續存取。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 稽核記錄 |
| MITRE ATT&CK 策略: | 持續性 |
| MITRE ATT&CK 技術: | T1098 - 帳戶操作 |
| MITRE ATT&CK 子技術: | 其他 Azure 服務主體認證 |
| 活動: | 帳戶布建/應用程式管理/將應用程式角色指派新增至服務主體 |
異常登入
描述: 敵人可能會使用認證存取技術竊取特定使用者或服務帳戶的認證,或透過社交工程擷取其偵察程式中的認證,以取得持續性的方法。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 登入記錄 Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 持續性 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
| 活動: | Microsoft項目標識碼: 登入活動 Windows 安全性:成功登入 (事件識別碼 4624) |
機器學習型異常
Microsoft Sentinel 可自定義的機器學習型異常,可以使用可立即運作的分析規則範本來識別異常行為。 雖然異常不一定本身表示惡意或甚至可疑行為,但它們可以用來改善偵測、調查和威脅搜捕。
- 異常Microsoft Entra 登入會話
- 異常 Azure 作業
- 異常程式代碼執行
- 建立異常本機帳戶
- 異常掃描活動
- Office Exchange 中的異常用戶活動
- Azure 稽核記錄中的異常使用者/應用程式活動
- 異常 W3CIIS 記錄活動
- 異常 Web 要求活動
- 嘗試的計算機暴力密碼破解
- 嘗試的用戶帳戶暴力密碼破解
- 每個登入類型嘗試的用戶帳戶暴力密碼破解
- 每一失敗原因嘗試用戶帳戶暴力密碼破解
- 偵測機器產生的網路指標行為
- DNS 網域上的網域產生演算法 (DGA)
- 網域信譽帕洛阿爾托異常 (已停止)
- 過度數據傳輸異常
- 透過 Palo Alto GlobalProtect 進行過度下載
- 透過 Palo Alto GlobalProtect 過度上傳
- 透過 Palo Alto GlobalProtect 帳戶登入從不尋常的區域登入
- 透過 Palo Alto GlobalProtect 的單一天內多區域登入 (DISCONTINUED)
- 潛在的數據暫存
- 新層級 DNS 網域的潛在網域產生演算法 (DGA)
- Palo Alto GlobalProtect 帳戶登入中的可疑地理位置變更
- 存取的受保護檔可疑數目
- 來自非 AWS 來源 IP 位址的可疑 AWS API 呼叫數量
- 依 EventTypeName 分組用戶帳戶的可疑 AWS CloudTrail 記錄事件數量
- 來自用戶帳戶的可疑 AWS 寫入 API 呼叫數量
- 每個群組用戶帳戶對 AWS 控制台的失敗登入嘗試可疑數量
- 每個來源IP位址對AWS控制台的可疑登入嘗試失敗數量
- 對電腦的可疑登入數量
- 具有更高令牌之計算機的可疑登入數量
- 用戶帳戶的可疑登入數量
- 依登入類型對用戶帳戶的可疑登入數量
- 具有提升許可權令牌之用戶帳戶的可疑登入數量
- 偵測到不尋常的外部防火牆警示
- 不尋常的質量降級 AIP 標籤
- 常用埠上的異常網路通訊
- 異常網路磁碟區異常
- 在 URL 路徑中使用 IP 偵測到的異常 Web 流量
異常Microsoft Entra 登入會話
描述: 機器學習模型會根據每個使用者,將Microsoft Entra 登入記錄分組。 模型會在使用者登入行為的前 6 天進行定型。 它表示過去一天中的異常使用者登入會話。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Microsoft Entra 登入記錄 |
| MITRE ATT&CK 策略: | 初始存取 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 T1566 - 網路釣魚 T1133 - 外部遠端服務 |
異常 Azure 作業
描述: 此偵測算法會在使用者分組的 Azure 作業上收集 21 天的數據,以定型此 ML 模型。 接著,此演算法會在工作區中執行作業順序的不常見用戶時產生異常狀況。 定型的 ML 模型會為使用者所執行的作業評分,並考慮其分數大於已定義的閾值的異常。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Azure 活動記錄 |
| MITRE ATT&CK 策略: | 初始存取 |
| MITRE ATT&CK 技術: | T1190 - 惡意探索公開應用程式 |
異常程式碼執行
描述: 攻擊者可能會濫用命令和腳本解釋器來執行命令、腳本或二進位檔。 這些介面和語言提供與計算機系統互動的方式,而且是許多不同平臺的常見功能。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Azure 活動記錄 |
| MITRE ATT&CK 策略: | 執行 |
| MITRE ATT&CK 技術: | T1059 - 命令和腳本解釋器 |
建立異常本機帳戶
描述: 此演算法會偵測在 Windows 系統上建立異常的本機帳戶。 攻擊者可能會建立本機帳戶,以維護目標系統的存取權。 此演算法會分析使用者在過去14天內的本機帳戶建立活動。 它從先前在歷史活動中未看到的用戶,尋找當天的類似活動。 您可以指定允許清單來篩選已知使用者,使其無法觸發此異常。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 持續性 |
| MITRE ATT&CK 技術: | T1136 - 建立帳戶 |
異常掃描活動
描述: 此演算法會尋找埠掃描活動,其來自單一來源IP到一或多個目的地IP,這通常不會出現在指定的環境中。
此演算法會考慮IP是公用/外部或私用/內部,且事件會據此標示。 目前只會考慮私人對公用或公用對私人活動。 掃描活動可能表示攻擊者嘗試判斷環境中可用的服務,這些服務可能會遭到惡意探索,並用於輸入或橫向移動。 從單一來源IP到單一或多個目的地IP或IP的大量來源埠和大量目的地埠,可能很有趣,並指出異常掃描。 此外,如果目的地 IP 與單一來源 IP 的比例很高,這表示異常掃描。
組態詳細數據:
- 作業執行預設值為每日,且具有每小時間隔。
此演算法會使用下列可設定的預設值,根據每小時間隔來限制結果。 - 包含的裝置動作 - 接受、允許、啟動
- 排除埠 - 53、67、80、8080、123、137、138、443、445、3389
- 相異目的地埠計數 >= 600
- 相異來源埠計數 >= 600
- 相異來源埠計數除以相異目的地埠,轉換為百分比的比率 >= 99.99
- 來源IP(一律 1) 除以目的地IP,轉換為百分比 >的比例 =99.99
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| MITRE ATT&CK 策略: | 探索 |
| MITRE ATT&CK 技術: | T1046 - 網路服務掃描 |
Office Exchange 中的異常用戶活動
描述: 此機器學習模型會將每一使用者的 Office Exchange 記錄分組為每小時貯體。 我們會將一小時定義為會話。 此模型會在所有一般(非系統管理員)使用者之前 7 天的行為訓練。 它表示過去一天中的異常使用者 Office Exchange 會話。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Office 活動記錄 (Exchange) |
| MITRE ATT&CK 策略: | 持續性 集合 |
| MITRE ATT&CK 技術: | 收集: T1114 - 電子郵件收集 T1213 - 來自資訊存放庫的數據 堅持: T1098 - 帳戶操作 T1136 - 建立帳戶 T1137 - Office 應用程式啟動 T1505 - 伺服器軟體元件 |
Azure 稽核記錄中的異常使用者/應用程式活動
描述: 此演算法會根據所有使用者和應用程式過去 21 天的行為,在稽核記錄中識別過去 21 天的異常使用者/應用程式 Azure 會話。 演算法會在定型模型之前檢查足夠的數據量。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Microsoft Entra 稽核記錄 |
| MITRE ATT&CK 策略: | 集合 探索 初始存取 持續性 權限提升 |
| MITRE ATT&CK 技術: | 收集: T1530 - 來自雲端記憶體對象的數據 探索: T1087 - 帳戶探索 T1538 - 雲端服務儀錶板 T1526 - 雲端服務探索 T1069 - 許可權群組探索 T1518 - 軟體探索 初始存取: T1190 - 惡意探索公開應用程式 T1078 - 有效帳戶 堅持: T1098 - 帳戶操作 T1136 - 建立帳戶 T1078 - 有效帳戶 權限提升: T1484 - 網域原則修改 T1078 - 有效帳戶 |
異常 W3CIIS 記錄活動
描述: 此機器學習演算法表示過去一天中的異常 IIS 工作階段。 例如,它會擷取異常大量的不同 URI 查詢、使用者代理程式或會話中的記錄,或會話中的特定 HTTP 動詞或 HTTP 狀態。 此演算法會在每小時會話內識別不尋常的 W3CIISLog 事件,並依網站名稱和用戶端 IP 分組。 模型會在 IIS 活動的前 7 天進行定型。 演算法會先檢查足夠的 IIS 活動量,再定型模型。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | W3CIIS 記錄 |
| MITRE ATT&CK 策略: | 初始存取 持續性 |
| MITRE ATT&CK 技術: | 初始存取: T1190 - 惡意探索公開應用程式 堅持: T1505 - 伺服器軟體元件 |
異常 Web 要求活動
描述: 此演算法會將 W3CIISLog 事件分組為依網站名稱和 URI 字幹分組的每小時會話。 機器學習模型會識別過去一天觸發 5xx 類別回應碼的要求異常大量會話。 5xx 類別代碼表示要求已觸發某些應用程式不穩定或錯誤狀況。 其可能表示攻擊者正在探查 URI 字幹是否有弱點和組態問題、執行 SQL 插入等一些惡意探索活動,或利用未修補的弱點。 此演算法使用 6 天的數據進行定型。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | W3CIIS 記錄 |
| MITRE ATT&CK 策略: | 初始存取 持續性 |
| MITRE ATT&CK 技術: | 初始存取: T1190 - 惡意探索公開應用程式 堅持: T1505 - 伺服器軟體元件 |
嘗試的計算機暴力密碼破解
描述: 此演算法會偵測到過去一天每部計算機發生異常大量失敗的登入嘗試(安全性事件標識碼 4625)。 模型會在過去 21 天的 Windows 安全性事件記錄檔中定型。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 認證存取權 |
| MITRE ATT&CK 技術: | T1110 - 暴力密碼破解 |
嘗試的用戶帳戶暴力密碼破解
描述: 此演算法會偵測過去一天每個用戶帳戶發生異常大量的失敗登入嘗試(安全性事件標識元 4625)。 模型會在過去 21 天的 Windows 安全性事件記錄檔中定型。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 認證存取權 |
| MITRE ATT&CK 技術: | T1110 - 暴力密碼破解 |
每個登入類型嘗試的用戶帳戶暴力密碼破解
描述: 此演算法會偵測過去一天每個用戶帳戶每個登入類型異常大量的失敗登入嘗試(安全性事件標識碼 4625)。 模型會在過去 21 天的 Windows 安全性事件記錄檔中定型。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 認證存取權 |
| MITRE ATT&CK 技術: | T1110 - 暴力密碼破解 |
每一失敗原因嘗試用戶帳戶暴力密碼破解
描述: 此演算法會偵測過去一天每個用戶帳戶發生異常大量的失敗登入嘗試(安全性事件標識元 4625)。 模型會在過去 21 天的 Windows 安全性事件記錄檔中定型。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 認證存取權 |
| MITRE ATT&CK 技術: | T1110 - 暴力密碼破解 |
偵測機器產生的網路指標行為
描述: 此演算法會根據週期性時間差異模式,識別來自網路流量連線記錄的指標模式。 重複差異時,任何對不受信任公用網路的網路連線,都是惡意代碼回呼或數據外流嘗試的指示。 此演算法會計算相同來源IP與目的地IP之間連續網路連線之間的時間差異,以及相同來源與目的地之間的時間差異序列中的連線數目。 指標的百分比會計算為時間差異序列中的連線,以一天的總連線。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | CommonSecurityLog (PAN) |
| MITRE ATT&CK 策略: | 命令與控制 |
| MITRE ATT&CK 技術: | T1071 - 應用層通訊協定 T1132 - 數據編碼 T1001 - 數據混淆 T1568 - 動態解析度 T1573 - 加密通道 T1008 - 後援通道 T1104 - 多階段通道 T1095 - 非應用層通訊協定 T1571 - 非標準埠 T1572 - 通訊協定通道 T1090 - Proxy T1205 - 交通信號 T1102 - Web 服務 |
DNS 網域上的網域產生演算法 (DGA)
描述: 此機器學習模型指出 DNS 記錄中過去一天的潛在 DGA 網域。 此演算法適用於解析為 IPv4 和 IPv6 位址的 DNS 記錄。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | DNS 事件 |
| MITRE ATT&CK 策略: | 命令與控制 |
| MITRE ATT&CK 技術: | T1568 - 動態解析度 |
網域信譽帕洛阿爾托異常 (已停止)
描述: 此演算法會評估Palo Alto 防火牆 (PAN-OS 產品) 記錄中特別看到之所有網域的信譽。 高異常分數表示低信譽,表示網域已觀察到裝載惡意內容或可能這樣做。
過度數據傳輸異常
描述: 此演算法會偵測到網路記錄中觀察到的異常高數據傳輸。 它會使用時間序列將數據分解成季節性、趨勢和剩餘元件,以計算基準。 任何與歷史基準的突然大偏差都會被視為異常活動。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| MITRE ATT&CK 策略: | Exfiltration |
| MITRE ATT&CK 技術: | T1030 - 資料傳輸大小限制 T1041 - 透過 C2 通道外洩 T1011 - 透過其他網路媒體外洩 T1567 - 透過Web服務外洩 T1029 - 排程傳輸 T1537 - 將數據傳輸到雲端帳戶 |
透過 Palo Alto GlobalProtect 進行過度下載
描述: 此演算法會透過Palo Alto VPN 解決方案偵測到每個使用者帳戶的下載量異常高。 此模型會在 VPN 記錄的前 14 天進行定型。 它表示過去一天下載量異常高。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK 策略: | Exfiltration |
| MITRE ATT&CK 技術: | T1030 - 資料傳輸大小限制 T1041 - 透過 C2 通道外洩 T1011 - 透過其他網路媒體外洩 T1567 - 透過Web服務外洩 T1029 - 排程傳輸 T1537 - 將數據傳輸到雲端帳戶 |
透過 Palo Alto GlobalProtect 過度上傳
描述: 此演算法會透過Palo Alto VPN 解決方案偵測到每個用戶帳戶的上傳量異常高。 此模型會在 VPN 記錄的前 14 天進行定型。 它表示過去一天上傳量異常高。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK 策略: | Exfiltration |
| MITRE ATT&CK 技術: | T1030 - 資料傳輸大小限制 T1041 - 透過 C2 通道外洩 T1011 - 透過其他網路媒體外洩 T1567 - 透過Web服務外洩 T1029 - 排程傳輸 T1537 - 將數據傳輸到雲端帳戶 |
透過 Palo Alto GlobalProtect 帳戶登入從不尋常的區域登入
描述: 當 Palo Alto GlobalProtect 帳戶從過去 14 天內很少登入的來源區域登入時,就會觸發異常。 此異常可能表示帳戶已遭入侵。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK 策略: | 認證存取權 初始存取 橫向移動 |
| MITRE ATT&CK 技術: | T1133 - 外部遠端服務 |
透過 Palo Alto GlobalProtect 的單一天內多區域登入 (DISCONTINUED)
描述: 此演算法會透過Palo Alto VPN,偵測在單一天內從多個非相鄰區域登入的用戶帳戶。
潛在的數據暫存
描述: 此演算法會根據每一使用者與每個使用者的目前一天下載比較個別檔案的下載,而且當相異檔案的下載數目超過平均數上方所設定的標準偏差數目時,就會觸發異常。 目前,此演算法只會分析檔、影像、影片和封存期間經常看到的檔案,其擴展名doc為 、docx、xls、xlsx、pdfrarzippptxxlsmonepptmp3bmpjpgmp4 和 。mov
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Office 活動記錄 (Exchange) |
| MITRE ATT&CK 策略: | 集合 |
| MITRE ATT&CK 技術: | T1074 - 數據分段 |
新層級 DNS 網域的潛在網域產生演算法 (DGA)
描述: 此機器學習模型會指出來自 DNS 記錄的最後一天,下一個層級的功能變數名稱(第三層和更新層級)。 它們可能是網域產生演算法 (DGA) 的輸出。 異常適用於解析為 IPv4 和 IPv6 位址的 DNS 記錄。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | DNS 事件 |
| MITRE ATT&CK 策略: | 命令與控制 |
| MITRE ATT&CK 技術: | T1568 - 動態解析度 |
Palo Alto GlobalProtect 帳戶登入中的可疑地理位置變更
描述: 比對表示使用者從遠端登入的國家/地區,與使用者上次遠端登錄的國家/地區不同。 此規則也可能表示帳戶遭到入侵,特別是當規則符合時。 這包括不可能旅行的案例。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK 策略: | 初始存取 認證存取權 |
| MITRE ATT&CK 技術: | T1133 - 外部遠端服務 T1078 - 有效帳戶 |
存取的受保護檔可疑數目
描述:此演算法會偵測大量存取 Azure 資訊保護 (AIP) 記錄中的受保護檔。 它會考慮指定天數的AIP工作負載記錄,並判斷使用者是否在指定的歷程記錄行為中對受保護的檔執行異常存取。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Azure 資訊保護 記錄 |
| MITRE ATT&CK 策略: | 集合 |
| MITRE ATT&CK 技術: | T1530 - 來自雲端記憶體對象的數據 T1213 - 來自資訊存放庫的數據 T1005 - 本機系統的數據 T1039 - 來自網路共用磁碟驅動器的數據 T1114 - 電子郵件收集 |
來自非 AWS 來源 IP 位址的可疑 AWS API 呼叫數量
描述: 此演算法會在最後一天,從 AWS 來源 IP 範圍以外的來源 IP 位址,偵測每個工作區每個使用者帳戶的異常大量 AWS API 呼叫。 模型會根據來源IP位址,在AWS CloudTrail記錄事件的前21天定型。 此活動可能表示用戶帳戶遭到入侵。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | 初始存取 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
依 EventTypeName 分組用戶帳戶的可疑 AWS CloudTrail 記錄事件數量
描述: 此演算法會根據不同事件類型(AwsApiCall、AwsServiceEvent、AwsConsoleSignIn、AwsConsoleAction、AwsConsoleAction)在 AWS CloudTrail 記錄檔中偵測到異常大量的事件。 此模型會依據群組用戶帳戶,在 AWS CloudTrail 記錄事件的過去 21 天內定型。 此活動可能表示帳戶遭到入侵。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | 初始存取 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
來自用戶帳戶的可疑 AWS 寫入 API 呼叫數量
描述: 此演算法會在最後一天偵測到每個用戶帳戶的 AWS 寫入 API 呼叫量異常高。 模型會依用戶帳戶在 AWS CloudTrail 記錄事件的過去 21 天內定型。 此活動可能表示帳戶遭到入侵。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | 初始存取 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
每個群組用戶帳戶對 AWS 控制台的失敗登入嘗試可疑數量
描述: 此演算法會在最後一天偵測到 AWS CloudTrail 記錄中每個群組用戶帳戶的 AWS 控制台失敗的登入嘗試量異常高。 此模型會依據群組用戶帳戶,在 AWS CloudTrail 記錄事件的過去 21 天內定型。 此活動可能表示帳戶遭到入侵。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | 初始存取 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
每個來源IP位址對AWS控制台的可疑登入嘗試失敗數量
描述: 此演算法會在最後一天偵測到 AWS CloudTrail 記錄中 AWS 控制台中每個來源 IP 位址的異常大量失敗登入事件。 模型會根據來源IP位址,在AWS CloudTrail記錄事件的前21天定型。 此活動可能表示IP位址遭到入侵。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | 初始存取 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
對電腦的可疑登入數量
描述: 此演算法會偵測過去一天每部計算機異常大量的成功登入(安全性事件標識碼 4624)。 模型會在前 21 天的 Windows 安全性 事件記錄中定型。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 初始存取 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
具有更高令牌之計算機的可疑登入數量
描述: 此演算法會在最後一天偵測到具有系統管理許可權的異常大量成功登入(安全性事件標識碼 4624)。 此模型會在前 21 天的 Windows 安全性 事件記錄中定型。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 初始存取 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
用戶帳戶的可疑登入數量
描述: 此演算法會偵測過去一天每個用戶帳戶的異常大量成功登入(安全性事件標識碼 4624)。 模型會在前 21 天的 Windows 安全性 事件記錄中定型。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 初始存取 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
依登入類型對用戶帳戶的可疑登入數量
描述: 過去一天,此演算法會根據不同的登入類型,偵測每個使用者帳戶異常大量的成功登入(安全性事件標識碼 4624)。 模型會在前 21 天的 Windows 安全性 事件記錄中定型。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 初始存取 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
具有提升許可權令牌之用戶帳戶的可疑登入數量
描述: 此演算法會在最後一天偵測到具有系統管理許可權的異常大量成功登入(安全性事件標識碼 4624)。 模型會在前 21 天的 Windows 安全性 事件記錄中定型。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 初始存取 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
偵測到不尋常的外部防火牆警示
描述: 此演算法會識別異常的外部防火牆警示,這些警示是由防火牆廠商所發行的威脅簽章。 它會使用過去 7 天的活動來計算 10 個觸發的簽章,以及觸發最多簽章的 10 部主機。 排除這兩種類型的嘈雜事件之後,只有在超過單一天內觸發之簽章數目的臨界值之後,才會觸發異常。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | CommonSecurityLog (PAN) |
| MITRE ATT&CK 策略: | 探索 命令與控制 |
| MITRE ATT&CK 技術: | 探索: T1046 - 網路服務掃描 T1135 - 網路共用探索 命令與控制: T1071 - 應用層通訊協定 T1095 - 非應用層通訊協定 T1571 - 非標準埠 |
不尋常的質量降級 AIP 標籤
描述:此演算法偵測到 Azure 資訊保護 (AIP) 記錄中異常大量的降級卷標活動。 它會考慮指定天數的「AIP」工作負載記錄,並決定在檔上執行的活動順序,以及套用以分類異常降級活動的標籤。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Azure 資訊保護 記錄 |
| MITRE ATT&CK 策略: | 集合 |
| MITRE ATT&CK 技術: | T1530 - 來自雲端記憶體對象的數據 T1213 - 來自資訊存放庫的數據 T1005 - 本機系統的數據 T1039 - 來自網路共用磁碟驅動器的數據 T1114 - 電子郵件收集 |
常用埠上的異常網路通訊
描述: 此演算法會識別常用埠上的異常網路通訊,並將每日流量與過去 7 天的基準進行比較。 這包括常用埠上的流量(22、53、80、443、8080、8888),並將每日流量與基準期間計算的數個網路流量屬性的平均和標準偏差進行比較。 所考慮的流量屬性是每日事件總數、每日數據傳輸,以及每個埠的不同來源IP位址數目。 當每日值大於平均數上方所設定的標準偏差數目時,就會觸發異常。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | CommonSecurityLog (PAN、Zscaler、CheckPoint、Fortinet) |
| MITRE ATT&CK 策略: | 命令與控制 Exfiltration |
| MITRE ATT&CK 技術: | 命令與控制: T1071 - 應用層通訊協定 外流: T1030 - 資料傳輸大小限制 |
異常網路磁碟區異常
描述: 此演算法會偵測到網路記錄中異常大量的連線。 它會使用時間序列將數據分解成季節性、趨勢和剩餘元件,以計算基準。 任何與歷史基準的突然大偏差都會被視為異常活動。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| MITRE ATT&CK 策略: | Exfiltration |
| MITRE ATT&CK 技術: | T1030 - 資料傳輸大小限制 |
在 URL 路徑中使用 IP 偵測到的異常 Web 流量
描述: 此演算法會識別將IP位址列為主機的不尋常的Web要求。 演算法會尋找 URL 路徑中具有 IP 位址的所有 Web 要求,並將其與前一周的數據進行比較,以排除已知的良性流量。 排除已知的良性流量之後,只有在超過具有設定值的特定閾值之後,才會觸發異常,例如Web要求總數、具有相同主機目的地IP位址的URL數目,以及相同目的地IP位址的URL集合內的相異來源IP數目。 這種類型的要求可能表示嘗試略過惡意的URL信譽服務。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | CommonSecurityLog (PAN、Zscaler、CheckPoint、Fortinet) |
| MITRE ATT&CK 策略: | 命令與控制 初始存取 |
| MITRE ATT&CK 技術: | 命令與控制: T1071 - 應用層通訊協定 初始存取: T1189 - 逐一入侵 |
下一步
瞭解如何 使用異常規則。