Microsoft Sentinel 會藉由分析使用者在一段時間內環境中的行為,並建構合法活動的基準來偵測異常。 建立基準之後,一般參數以外的任何活動都會被視為異常且因此可疑。
Microsoft Sentinel 會使用兩個模型來建立基準並偵測異常。
本文列出 Microsoft Sentinel 利用各種machine learning模型偵測到的異常現象。
在異常表中:
- 此
rulename欄指出 Sentinel 用來識別每個異常的規則。 - 該
score欄包含一個介於 0 和 1 之間的數值,用於量化與預期行為的偏差程度。 分數越高表示與基線的偏差越大,並且更有可能是真正的異常。 較低的分數可能仍然是異常的,但不太可能是顯著或可操作的。
Note
由於結果品質低,這些異常偵測自2026年3月8日起停止:
- DNS 網域上的網域產生演算法 (DGA)
- 新層級 DNS 網域的潛在網域產生演算法 (DGA)
比較UEBA與machine learning異常現象
UEBA 與 machine learning(ML)-based 異常是異常偵測的互補方法。 兩者皆包含表格, Anomalies 但用途不同:
| 層面 | UEBA 異常 | 機器學習異常偵測規則 |
|---|---|---|
| 焦點 | 行為 異常 | 哪些 活動是不尋常的 |
| 偵測方法 | 以實體為導向的行為基線與歷史活動、同儕行為及組織整體模式的比較 | 可自訂規則範本,使用統計與機器學習模型,訓練於特定資料模式 |
| 基線來源 | 每個實體的歷史、同儕團體及組織 | 特定活動類型的訓練期間(通常為7至21天) |
| 自訂 | 使用 UEBA 設定啟用/停用 | 利用分析規則介面調整閾值與參數 |
| Examples | 異常登入、異常帳號建立、異常權限修改 | 嘗試暴力破解、過度下載、網路信標 |
如需詳細資訊,請參閱:
UEBA 異常
Sentinel UEBA 會根據針對各種數據輸入為每個實體建立的動態基準來偵測異常。 每個實體的基準行為都是根據其本身的歷程記錄活動、其同儕節點的歷程記錄活動,以及組織整體的歷程記錄活動來設定。 異常狀況可能是由動作類型、地理位置、裝置、資源、ISP 等不同屬性的相互關聯所觸發。
您必須 在 Sentinel 工作區中啟用 UEBA 和異常偵測 ,才能偵測 UEBA 異常。
UEBA 會根據下列異常規則來偵測異常:
- UEBA 異常帳號Access移除
- UEBA 異常帳戶建立
- UEBA 異常帳戶刪除
- UEBA 異常帳戶操縱
- UEBA 在 GCP 審計日誌中的異常活動
- UEBA Okta_CL 異常活動
- UEBA 異常驗證
- UEBA 異常程式碼執行
- UEBA 異常資料銷毀
- 來自 Amazon S3 的 UEBA 異常資料傳輸
- UEBA異常防禦機制修改
- UEBA 異常登入失敗
- UEBA AwsCloudTrail 中的異常聯邦(SAML 身份活動)
- UEBA Anomalous IAM Privilege Modification in AwsCloudTrail
- AwsCloudTrail 中的 UEBA 異常登入
- UEBA Okta_CL 中異常的多重因素驗證失敗
- UEBA 異常密碼重設
- 授予 UEBA 異常特權
UEBA 異常秘密或 KMS 金鑰Access 在 AwsCloudTrail - UEBA 異常登入
- UEBA 異常 STS 在 AwsCloudTrail 中承擔角色行為
Sentinel 會使用 BehaviorAnalytics 資料表中的擴充資料來識別 UEBA 異常,並具有租用戶和來源專屬的信賴度分數。
UEBA 異常帳號Access移除
Description: 攻擊者可能會透過阻擋合法使用者使用的帳號access,來中斷系統與網路資源的可用性。 攻擊者可能會刪除、鎖定或操控帳號(例如更改其憑證),以移除該帳號的access。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Azure Activity logs |
| MITRE ATT&CK 策略: | Impact |
| MITRE ATT&CK 技術: | T1531 - Account Access 移除 |
| Activity: | Microsoft.Authorization/roleAssignments/delete 登出 |
UEBA 異常帳戶建立
Description: 敵對者可能會建立帳號以維持對目標系統的access。 在足夠access下,建立此類帳號可用於建立次級憑證access,而無需在系統上部署持續的遠端access工具。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 稽核記錄 |
| MITRE ATT&CK 策略: | Persistence |
| MITRE ATT&CK 技術: | T1136 - 建立帳戶 |
| MITRE ATT&CK 子技術: | 雲端帳戶 |
| Activity: | Core Directory/UserManagement/新增使用者 |
UEBA 異常帳戶刪除
說明: 攻擊者可能會透過阻止合法使用者使用的帳號access,來中斷系統與網路資源的可用性。 帳號可能會被刪除、鎖定或竄改(例如更改憑證)以移除帳號的access。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 稽核記錄 |
| MITRE ATT&CK 策略: | Impact |
| MITRE ATT&CK 技術: | T1531 - Account Access 移除 |
| Activity: | Core Directory/UserManagement/Delete 使用者 Core Directory/Device/Delete 使用者 Core Directory/UserManagement/Delete 使用者 |
UEBA 異常帳戶操縱
Description: 敵對者可能會操控帳號以維持對目標系統的access。 這些動作包括將新帳戶新增至高許可權群組。 例如,Dragonfly 2.0 新增了管理員群組的新帳號,以維持提升權限(elevateed access)。 下列查詢會產生所有執行「更新使用者」(名稱變更)的高爆炸半徑用戶輸出給特殊許可權角色,或第一次變更用戶的輸出。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 稽核記錄 |
| MITRE ATT&CK 策略: | Persistence |
| MITRE ATT&CK 技術: | T1098 - 帳戶操作 |
| Activity: | Core Directory/UserManagement/Update 使用者 |
UEBA 在 GCP 審計日誌中的異常活動
Description: 嘗試根據 GCP 稽核日誌中與 IAM 相關的條目搜尋 Cloud Platform (GCP) 資源的 Google access 失敗。 這些失敗可能反映出權限設定錯誤、未授權服務的access嘗試,或是早期攻擊者的行為,如特權探測或透過服務帳號持續執行。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | GCP 稽核記錄 |
| MITRE ATT&CK 策略: | 發現 |
| MITRE ATT&CK 技術: | T1087 – 帳戶探索,T1069 – 權限群組探索 |
| Activity: | iam.googleapis.com |
UEBA Okta_CL 異常活動
描述: Okta 中非預期的驗證活動或與安全性相關的組態變更,包括登入規則、多重要素驗證 (MFA) 強制執行或管理權限的修改。 此類行為可能表示試圖更改身份安全控制或透過特權變更維持 access。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Okta 雲端日誌 |
| MITRE ATT&CK 策略: | 持久性、權限提升 |
| MITRE ATT&CK 技術: | T1098 - 帳戶操作,T1556 - 修改驗證程式 |
| Activity: | 用戶.session.impersonation.grant 用戶.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
UEBA 異常驗證
Description: 來自Microsoft Defender for Endpoint與Microsoft Entra ID訊號的異常認證活動,包括裝置登入、管理身份登入,以及來自Microsoft Entra ID的服務主體認證。 這些異常可能暗示憑證濫用、非人類身份濫用,或是試圖在典型 access 模式之外進行橫向移動。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Defender for Endpoint, Microsoft Entra ID |
| MITRE ATT&CK 策略: | 初始Access |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
| Activity: |
UEBA 異常程式碼執行
描述: 對手可能會濫用命令和腳本解釋器來執行命令、腳本或二進位檔。 這些介面和語言提供與計算機系統互動的方式,而且是許多不同平臺的常見功能。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Azure Activity logs |
| MITRE ATT&CK 策略: | Execution |
| MITRE ATT&CK 技術: | T1059 - 命令和腳本解釋器 |
| MITRE ATT&CK 子技術: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
UEBA 異常資料銷毀
描述: 攻擊者可能會銷毀特定系統上或網路上的大量資料和檔案,以中斷系統、服務和網路資源的可用性。 透過覆寫本機和遠端磁碟驅動器上的檔案或數據,數據解構可能會讓鑑識技術無法復原儲存的數據。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Azure Activity logs |
| MITRE ATT&CK 策略: | Impact |
| MITRE ATT&CK 技術: | T1485 - 數據解構 |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft。Storage/storageAccounts/delete Microsoft。Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft。Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft。Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
來自 Amazon S3 的 UEBA 異常資料傳輸
說明: 亞馬遜簡易Storage服務(S3)資料access或下載模式的偏差。 異常是利用每個使用者、服務和資源的行為基準來判定,並將資料傳輸量、頻率及存取物件數量與歷史常態進行比較。 重大偏差——例如首次大量存取 access、異常龐大的資料擷取,或來自新地點或應用程式的活動——可能顯示資料外洩、政策違規或被入侵憑證被濫用。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | Exfiltration |
| MITRE ATT&CK 技術: | T1567 - 透過Web服務外洩 |
| Activity: | PutObject、CopyObject、UploadPart、UploadPartCopy、CreateJob、CompleteMultipartUpload |
UEBA異常防禦機制修改
描述: 攻擊者可能會停用安全工具,以避免可能偵測到其工具和活動。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Azure Activity logs |
| MITRE ATT&CK 策略: | 防禦閃避 |
| MITRE ATT&CK 技術: | T1562 - 損害防禦 |
| MITRE ATT&CK 子技術: | 停用或修改工具 停用或修改雲端防火牆 |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
UEBA 異常登入失敗
Description: 對系統或環境中的合法憑證毫無先前知識的對手,可能會猜測密碼以嘗試access帳號。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 登入記錄 Windows Security 日誌 |
| MITRE ATT&CK 策略: | 憑證存取(Credential Access) |
| MITRE ATT&CK 技術: | T1110 - 暴力密碼破解 |
| Activity: |
Microsoft Entra ID: 登入活動 Windows Security: 登入失敗(事件 ID 4625) |
UEBA AwsCloudTrail 中的異常聯邦(SAML 身份活動)
說明: 基於聯邦或安全主張標記語言(SAML)的身份出現異常行為,涉及首次行動、不熟悉的地理位置或過度的 API 呼叫。 此類異常可能表示會話劫持或聯邦憑證被濫用。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | 初始Access,持續性 |
| MITRE ATT&CK 技術: | T1078 - 有效帳號,T1550 - 使用替代認證資料 |
| Activity: | 使用者認證(EXTERNAL_IDP) |
UEBA Anomalous IAM Privilege Modification in AwsCloudTrail
Description: 身份與Access管理(IAM)管理行為的偏差,例如首次建立、修改或刪除角色、使用者及群組,或附加新的內線或受管理政策。 這些可能代表特權升級或政策濫用。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | 權限升級與持續性 |
| MITRE ATT&CK 技術: | T1136 - 建立帳號,T1098 - 帳號操作 |
| Activity: | iam.amazonaws.com、sso-directory.amazonaws.com 的建立、新增、附加、刪除、停用、置入及更新操作 |
AwsCloudTrail 中的 UEBA 異常登入
描述: Amazon Web Services (AWS) 服務中基於 CloudTrail 事件 (例如 ConsoleLogin 和其他身份驗證相關屬性) 的異常登入活動。 異常現象是根據地理位置、裝置指紋、ISP 及 access 方法等屬性,使用者行為的偏差所決定,可能表示未經授權的 access 嘗試或潛在的政策違規。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | 初始Access |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
| Activity: | 主控台登入 |
UEBA Okta_CL 中異常的多重因素驗證失敗
描述: Okta 中失敗的 MFA 嘗試異常模式。 這些異常可能是由於帳戶濫用、憑證填充或不當使用受信任的裝置機制造成的,並且通常反映了早期階段的對手行為,例如測試被盜的憑證或探測身分保護措施。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Okta 雲端日誌 |
| MITRE ATT&CK 策略: | 持久性、權限提升 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶,T1556 - 修改身份驗證過程 |
| Activity: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
UEBA 異常密碼重設
說明: 攻擊者可能會透過阻止合法使用者使用的帳號access,來中斷系統與網路資源的可用性。 帳號可能會被刪除、鎖定或竄改(例如更改憑證)以移除帳號的access。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 稽核記錄 |
| MITRE ATT&CK 策略: | Impact |
| MITRE ATT&CK 技術: | T1531 - Account Access 移除 |
| Activity: | Core Directory/UserManagement/用戶密碼重設 |
授予 UEBA 異常特權
Description: 對手除了現有合法憑證外,還可為Azure服務主體新增由敵對方控制的憑證,以維持對受害者Azure帳號的持續access。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 稽核記錄 |
| MITRE ATT&CK 策略: | Persistence |
| MITRE ATT&CK 技術: | T1098 - 帳戶操作 |
| MITRE ATT&CK 子技術: | Additional Azure Service Principal Credentials |
| Activity: | 帳戶布建/應用程式管理/將應用程式角色指派新增至服務主體 |
UEBA 異常秘密或 KMS Key Access 在 AwsCloudTrail 中
Description: 可疑access AWS Secrets Manager 或 Key Management Service(KMS)資源。 首次存取(first-time access)或異常高的 access 頻率可能表示憑證收集或資料外洩嘗試。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | 憑證Access,收藏 |
| MITRE ATT&CK 技術: | T1555 - 密碼儲存庫的憑證 |
| Activity: | GetSecretValue BatchGetSecretValue 清單鍵 秘密清單 PutSecretValue 創造秘密 秘密更新 刪除秘密 CreateKey PutKeyPolicy |
UEBA 異常登入
說明: 攻擊者可能會利用憑證Access技術竊取特定使用者或服務帳號的憑證,或在偵察過程中透過社會工程學早期擷取憑證以獲取持久性。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 登入記錄 Windows Security 日誌 |
| MITRE ATT&CK 策略: | Persistence |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
| Activity: |
Microsoft Entra ID: 登入活動 Windows Security: 成功登入(事件編號 4624) |
UEBA 異常 STS 在 AwsCloudTrail 中承擔角色行為
Description: AWS 安全令牌服務(STS)AssumeRole 行動的異常使用,特別是涉及特權角色或跨帳號access。 與一般使用方式不同的情況可能代表權限升級或身份外洩。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | 特權升級與防禦規避 |
| MITRE ATT&CK 技術: | T1548 - 濫用高階控制機制,T1078 - 有效帳號 |
| Activity: | 承擔角色 AssumeRoleWithSAML AssumeRoleWithWebIdentity 假設根 |
基於Machine learning的異常現象
Microsoft Sentinel 可自訂、基於 machine learning 的異常現象,能透過分析規則範本識別異常行為,這些範本可直接啟用。 雖然異常不一定本身表示惡意或甚至可疑行為,但它們可以用來改善偵測、調查和威脅搜捕。
- 異常Azure操作
- 異常程式代碼執行
- 建立異常本機帳戶
Office Exchange - 嘗試的計算機暴力密碼破解
- 嘗試的用戶帳戶暴力密碼破解
- 每個登入類型嘗試的用戶帳戶暴力密碼破解
- 每一失敗原因嘗試用戶帳戶暴力密碼破解
- 偵測機器產生的網路指標行為
- DNS 網域上的網域產生演算法 (DGA)
- 透過 Palo Alto GlobalProtect 進行過度下載
- 透過 Palo Alto GlobalProtect 過度上傳
- 新層級 DNS 網域的潛在網域產生演算法 (DGA)
- 來自非 AWS 來源 IP 位址的可疑 AWS API 呼叫數量
- 來自用戶帳戶的可疑 AWS 寫入 API 呼叫數量
- 對電腦的可疑登入數量
- 具有更高令牌之計算機的可疑登入數量
- 用戶帳戶的可疑登入數量
- 依登入類型對用戶帳戶的可疑登入數量
- 具有提升許可權令牌之用戶帳戶的可疑登入數量
異常 Azure 操作
Description: 此偵測演算法收集 21 天的 Azure 操作資料,依使用者分組以訓練此機器學習模型。 接著,此演算法會在工作區中執行作業順序的不常見用戶時產生異常狀況。 定型的 ML 模型會為使用者所執行的作業評分,並考慮其分數大於已定義的閾值的異常。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | Azure Activity logs |
| MITRE ATT&CK 策略: | 初始Access |
| MITRE ATT&CK 技術: | T1190 - 惡意探索公開應用程式 |
異常程式碼執行
描述: 攻擊者可能會濫用命令和腳本解釋器來執行命令、腳本或二進位檔。 這些介面和語言提供與計算機系統互動的方式,而且是許多不同平臺的常見功能。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | Azure Activity logs |
| MITRE ATT&CK 策略: | Execution |
| MITRE ATT&CK 技術: | T1059 - 命令和腳本解釋器 |
建立異常本機帳戶
描述: 此演算法會偵測 Windows 系統上異常的本機帳戶建立。 攻擊者可能會建立本地帳號以維持對目標系統的access。 此演算法會分析使用者在過去14天內的本機帳戶建立活動。 它從先前在歷史活動中未看到的用戶,尋找當天的類似活動。 您可以指定允許清單來篩選已知使用者,使其無法觸發此異常。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | Windows Security 日誌 |
| MITRE ATT&CK 策略: | Persistence |
| MITRE ATT&CK 技術: | T1136 - 建立帳戶 |
Office Exchange 中的異常使用者活動
Description: 此machine learning模型將 Office Exchange 日誌依每位使用者分組為每小時的桶。 我們會將一小時定義為會話。 此模型會在所有一般(非系統管理員)使用者之前 7 天的行為訓練。 它顯示過去一天內 Office Exchange 的異常使用者會話。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | 辦公活動日誌(Exchange) |
| MITRE ATT&CK 策略: | Persistence Collection |
| MITRE ATT&CK 技術: |
Collection: T1114 - 電子郵件收集 T1213 - 來自資訊儲存庫的資料 Persistence: T1098 - 帳戶操作 T1136 - 建立帳戶 T1137 - Office 應用程式啟動 T1505 - 伺服器軟體元件 |
嘗試的計算機暴力密碼破解
描述: 此演算法會偵測過去一天每部電腦異常大量的失敗登入嘗試 (安全性事件標識碼 4625) 。 該模型是根據過去 21 天的 Windows security 事件日誌進行訓練的。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | Windows Security 日誌 |
| MITRE ATT&CK 策略: | 憑證存取(Credential Access) |
| MITRE ATT&CK 技術: | T1110 - 暴力密碼破解 |
嘗試的用戶帳戶暴力密碼破解
描述: 此演算法會偵測過去一天每個使用者帳戶異常大量的失敗登入嘗試 (安全性事件識別碼 4625)。 該模型是根據過去 21 天的 Windows security 事件日誌進行訓練的。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | Windows Security 日誌 |
| MITRE ATT&CK 策略: | 憑證存取(Credential Access) |
| MITRE ATT&CK 技術: | T1110 - 暴力密碼破解 |
每個登入類型嘗試的用戶帳戶暴力密碼破解
描述: 此演算法會偵測過去一天每個登入類型的每個使用者帳戶異常大量的失敗登入嘗試 (安全性事件標識碼 4625)。 該模型是根據過去 21 天的 Windows security 事件日誌進行訓練的。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | Windows Security 日誌 |
| MITRE ATT&CK 策略: | 憑證存取(Credential Access) |
| MITRE ATT&CK 技術: | T1110 - 暴力密碼破解 |
每一失敗原因嘗試用戶帳戶暴力密碼破解
描述: 此演算法會偵測過去一天每個使用者帳戶針對失敗原因的異常大量失敗登入嘗試 (安全性事件識別碼 4625)。 該模型是根據過去 21 天的 Windows security 事件日誌進行訓練的。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | Windows Security 日誌 |
| MITRE ATT&CK 策略: | 憑證存取(Credential Access) |
| MITRE ATT&CK 技術: | T1110 - 暴力密碼破解 |
偵測機器產生的網路指標行為
描述: 此演算法會根據週期性時間差異模式,從網路流量連線記錄檔中識別信標模式。 重複差異時,任何對不受信任公用網路的網路連線,都是惡意代碼回呼或數據外流嘗試的指示。 此演算法會計算相同來源IP與目的地IP之間連續網路連線之間的時間差異,以及相同來源與目的地之間的時間差異序列中的連線數目。 指標的百分比會計算為時間差異序列中的連線,以一天的總連線。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | CommonSecurityLog (PAN) |
| MITRE ATT&CK 策略: | 命令與控制 |
| MITRE ATT&CK 技術: | T1071 - 應用層通訊協定 T1132 - 數據編碼 T1001 - 數據混淆 T1568 - 動態解析度 T1573 - 加密通道 T1008 - 後援通道 T1104 - 多階段通道 T1095 - 非應用層通訊協定 T1571 - 非標準埠 T1572 - 通訊協定通道 T1090 - 代理 T1205 - 交通信號 T1102 - Web 服務 |
DNS 網域上的網域產生演算法 (DGA)
Description: 此machine learning模型顯示 DNS 日誌中過去一天可能的 DGA 網域。 此演算法適用於解析為 IPv4 和 IPv6 位址的 DNS 記錄。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | DNS 事件 |
| MITRE ATT&CK 策略: | 命令與控制 |
| MITRE ATT&CK 技術: | T1568 - 動態解析度 |
透過 Palo Alto GlobalProtect 進行過度下載
描述: 此演算法透過 Palo Alto VPN 解決方案偵測每個使用者帳戶異常高的下載量。 此模型會在 VPN 記錄的前 14 天進行定型。 它表示過去一天下載量異常高。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK 策略: | Exfiltration |
| MITRE ATT&CK 技術: | T1030 - 資料傳輸大小限制 T1041 - 透過 C2 通道外洩 T1011 - 透過其他網路媒體外洩 T1567 - 透過Web服務外洩 T1029 - 排程傳輸 T1537 - 將數據傳輸到雲端帳戶 |
透過 Palo Alto GlobalProtect 過度上傳
描述: 此演算法會偵測每個使用者帳戶透過 Palo Alto VPN 解決方案上傳異常大量的內容。 此模型會在 VPN 記錄的前 14 天進行定型。 它表示過去一天上傳量異常高。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK 策略: | Exfiltration |
| MITRE ATT&CK 技術: | T1030 - 資料傳輸大小限制 T1041 - 透過 C2 通道外洩 T1011 - 透過其他網路媒體外洩 T1567 - 透過Web服務外洩 T1029 - 排程傳輸 T1537 - 將數據傳輸到雲端帳戶 |
新層級 DNS 網域的潛在網域產生演算法 (DGA)
Description: 此machine learning模型顯示DNS日誌最後一天中不尋常的網域名稱的次級(第三層及以上)網域名稱。 它們可能是網域產生演算法 (DGA) 的輸出。 異常適用於解析為 IPv4 和 IPv6 位址的 DNS 記錄。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | DNS 事件 |
| MITRE ATT&CK 策略: | 命令與控制 |
| MITRE ATT&CK 技術: | T1568 - 動態解析度 |
來自非 AWS 來源 IP 位址的可疑 AWS API 呼叫數量
描述: 此演算法會在最後一天內偵測到每個工作區每個使用者帳戶的異常大量 AWS API 呼叫,這些呼叫來自 AWS 來源 IP 範圍之外的來源 IP 地址。 模型會根據來源IP位址,在AWS CloudTrail記錄事件的前21天定型。 此活動可能表示用戶帳戶遭到入侵。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | 初始Access |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
來自用戶帳戶的可疑 AWS 寫入 API 呼叫數量
描述: 此演算法會偵測到每個使用者帳戶在最後一天內異常大量的 AWS 寫入 API 呼叫。 模型會依用戶帳戶在 AWS CloudTrail 記錄事件的過去 21 天內定型。 此活動可能表示帳戶遭到入侵。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | 初始Access |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
對電腦的可疑登入數量
描述: 此演算法會偵測過去一天每部電腦異常大量的成功登入 (安全性事件標識碼 4624) 。 該模型是根據過去 21 天的 Windows Security 事件日誌進行訓練的。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | Windows Security 日誌 |
| MITRE ATT&CK 策略: | 初始Access |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
具有更高令牌之計算機的可疑登入數量
描述: 此演算法會偵測異常大量的成功登入 (安全性事件標識碼 4624) ,每部電腦在最後一天具有系統管理許可權。 該模型是根據過去 21 天的 Windows Security 事件日誌進行訓練的。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | Windows Security 日誌 |
| MITRE ATT&CK 策略: | 初始Access |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
用戶帳戶的可疑登入數量
描述: 此演算法會偵測過去一天每個使用者帳戶異常大量的成功登入 (安全性事件識別碼 4624)。 該模型是根據過去 21 天的 Windows Security 事件日誌進行訓練的。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | Windows Security 日誌 |
| MITRE ATT&CK 策略: | 初始Access |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
依登入類型對用戶帳戶的可疑登入數量
描述: 此演算法會偵測過去一天中,每個使用者帳戶的成功登入數量異常高 (安全性事件識別碼 4624) ,依不同的登入類型。 該模型是根據過去 21 天的 Windows Security 事件日誌進行訓練的。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | Windows Security 日誌 |
| MITRE ATT&CK 策略: | 初始Access |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
具有提升許可權令牌之用戶帳戶的可疑登入數量
描述: 此演算法會偵測異常大量的成功登入 (安全性事件標識碼 4624) ,每個使用者帳戶在最後一天具有系統管理許可權。 該模型是根據過去 21 天的 Windows Security 事件日誌進行訓練的。
| Attribute | Value |
|---|---|
| 異常類型: | 可自訂的machine learning |
| 資料來源: | Windows Security 日誌 |
| MITRE ATT&CK 策略: | 初始Access |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
後續步驟
- 了解machine learning產生的異常現象Microsoft哨兵。
- 瞭解如何 使用異常規則。
- 使用 Microsoft Sentinel 調查事件。