Microsoft Sentinel 透過分析使用者在環境中一段時間的行為,並建立合法活動的基線來偵測異常。 一旦建立基線,任何超出正常參數的活動都被視為異常,因此具有可疑性。
Microsoft Sentinel 使用兩種模型來建立基準線並偵測異常。
本文列出 Microsoft Sentinel 利用各種機器學習模型偵測到的異常現象。
在 異常表 中:
- 欄位
rulename顯示 Sentinel 用來識別每個異常的規則。 - 該
score欄包含介於 0 到 1 之間的數值,量化與預期行為偏差的程度。 分數越高表示偏離基線越大,且更可能是真正的異常。 較低的分數仍可能異常,但較不顯著或可採取的事件較不重要。
注意事項
由於結果品質低,這些異常偵測自2026年3月8日起停止:
- DNS網域 (DGA) 的網域生成演算法
- 潛在的網域產生演算法 (DGA) 於次階 DNS 網域上
比較UEBA與基於機器學習的異常現象
UEBA 與機器學習 (機器學習) 基於異常的互補方法。 兩者皆包含表格, Anomalies 但用途不同:
| 相位 | UEBA 異常現象 | 機器學習異常偵測規則 |
|---|---|---|
| 焦點 | 行為 異常 | 哪些 活動是不尋常的 |
| 偵測方法 | 以實體為導向的行為基線與歷史活動、同儕行為及組織整體模式的比較 | 可自訂規則範本,使用統計與機器學習模型,訓練於特定資料模式 |
| 基線來源 | 每個實體的歷史、同儕團體及組織 | 訓練期通常 (7至21天,) 針對特定項目類型 |
| 自訂 | 使用 UEBA 設定啟用/停用 | 利用分析規則介面調整閾值與參數 |
| 範例 | 異常登入、異常帳號建立、異常權限修改 | 嘗試暴力破解、過度下載、網路信標 |
如需詳細資訊,請參閱:
UEBA 異常現象
Sentinel UEBA 根據每個實體在各種資料輸入中建立的動態基線,偵測異常。 每個實體的基準行為依據其自身、同儕及整個組織的歷史活動設定。 異常可由不同屬性的相關性觸發,例如動作類型、地理位置、裝置、資源、ISP 等。
您必須在您的 Sentinel 工作區啟用 UEBA 和異常偵測,才能偵測 UEBA 異常。
UEBA 根據以下異常規則偵測異常:
- UEBA 異常帳號存取移除
- UEBA 異常帳號建立
- UEBA 異常帳號刪除
- UEBA 異常帳戶操作
- UEBA 在 GCP 審計日誌中的異常活動
- UEBA Okta_CL 異常活動
- UEBA 異常驗證
- UEBA 異常程式碼執行
- UEBA 異常資料銷毀
- 來自 Amazon S3 的 UEBA 異常資料傳輸
- UEBA 異常防禦機制修改
- UEBA 異常登入失敗
- UEBA AwsCloudTrail 中的異常聯邦(SAML 身份活動)
- UEBA Anomalous IAM Privilege Modification in AwsCloudTrail
- AwsCloudTrail 中的 UEBA 異常登入
- UEBA Okta_CL 中異常的多重因素驗證失敗
- UEBA 異常密碼重設
- UEBA 異常特權授予
- UEBA 異常秘密或 KMS 金鑰存取 AwsCloudTrail
- UEBA 異常登入
- UEBA 異常 STS 在 AwsCloudTrail 中承擔角色行為
Sentinel 利用 BehaviorAnalytics 表格中的豐富資料,根據您的租戶與來源提供專屬的信心分數,識別 UEBA 異常。
UEBA 異常帳號存取移除
說明: 攻擊者可能會透過阻擋合法使用者使用的帳號存取,來中斷系統與網路資源的可用性。 攻擊者可能會刪除、鎖定或操控帳號 (,例如更改帳號憑證) 以移除存取權。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Azure Activity logs |
| MITRE ATT&CK 戰術: | 影響 |
| MITRE ATT&CK 技巧: | T1531 - 帳號存取移除 |
| 活動: | Microsoft.Authorization/roleAssignments/delete 登出 |
UEBA 異常帳號建立
說明: 攻擊者可能會建立帳號以維持對目標系統的存取權限。 在取得足夠存取權限時,建立此類帳號可用於建立次級憑證存取權限,而無需在系統上部署持久性遠端存取工具。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 審計日誌 |
| MITRE ATT&CK 戰術: | 持續性 |
| MITRE ATT&CK 技巧: | T1136 - 建立帳號 |
| MITRE ATT&CK 子技術: | 雲端帳號 |
| 活動: | 核心目錄/使用者管理/新增使用者 |
UEBA 異常帳號刪除
說明: 攻擊者可能會透過阻擋合法使用者使用的帳號存取,來中斷系統與網路資源的可用性。 帳號可能會被刪除、鎖定或操作,例如更改憑證) 移除帳號存取權 (。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 審計日誌 |
| MITRE ATT&CK 戰術: | 影響 |
| MITRE ATT&CK 技巧: | T1531 - 帳號存取移除 |
| 活動: | 核心目錄/使用者管理/刪除使用者 核心目錄/裝置/刪除使用者 核心目錄/使用者管理/刪除使用者 |
UEBA 異常帳戶操作
說明: 敵人可能會操控帳號以維持對目標系統的存取權限。 這些行動包括將新帳號加入高權限群組。 例如,Dragonfly 2.0 將新建立的帳號加入管理員群組,以維持提升權限。 以下查詢會產生所有執行「更新使用者」 (將名稱變更) 為特權角色,或首次更改使用者的使用者的輸出。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 審計日誌 |
| MITRE ATT&CK 戰術: | 持續性 |
| MITRE ATT&CK 技巧: | T1098 - 帳號操作 |
| 活動: | 核心目錄/使用者管理/更新使用者 |
UEBA 在 GCP 審計日誌中的異常活動
說明: 根據 GCP 稽核日誌中與 IAM 相關的條目,嘗試存取 Google Cloud Platform (GCP) 資源失敗。 這些失敗可能反映出權限設定錯誤、未授權服務的嘗試,或是早期攻擊者行為如權限探測或透過服務帳號持續存在。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | GCP 稽核日誌 |
| MITRE ATT&CK 戰術: | 探索 |
| MITRE ATT&CK 技巧: | T1087 – 帳戶發現,T1069 – 權限群組發現 |
| 活動: | iam.googleapis.com |
UEBA Okta_CL 異常活動
說明:Okta 中意外 的認證活動或與安全相關的設定變更,包括登入規則的修改、多重認證 (多重驗證) 強制執行,或管理員權限。 此類行為可能表示試圖更改身份安全控制或透過特權變更維持存取權。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Okta 雲端日誌 |
| MITRE ATT&CK 戰術: | 持續性,權限提升 |
| MITRE ATT&CK 技巧: | T1098 - 帳號操作,T1556 - 修改認證流程 |
| 活動: | 用戶.session.impersonation.grant 用戶.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass 用戶.mfa.factor.deactivate user.mfa.factor.reset_all 用戶.mfa.factor.suspend user.mfa.okta_verify |
UEBA 異常驗證
說明:來自適用於端點的 Microsoft Defender與Microsoft Entra ID訊號的異常認證活動,包括裝置標誌、受管理身份登入,以及來自Microsoft Entra ID的服務主體驗證。 這些異常可能暗示憑證濫用、非人類身份濫用,或是嘗試在典型存取模式之外橫向移動。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | 適用於端點的 Microsoft Defender,Microsoft Entra ID |
| MITRE ATT&CK 戰術: | 初次存取 |
| MITRE ATT&CK 技巧: | T1078 - 有效帳號 |
| 活動: |
UEBA 異常程式碼執行
說明: 敵人可能會濫用指令與腳本直譯器來執行指令、腳本或二進位檔。 這些介面與語言提供了與電腦系統互動的方式,並且是許多不同平台上的共通特徵。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Azure Activity logs |
| MITRE ATT&CK 戰術: | 執行 |
| MITRE ATT&CK 技巧: | T1059 - 指令與腳本直譯器 |
| MITRE ATT&CK 子技術: | PowerShell |
| 活動: | Microsoft.Compute/virtualMachines/runCommand/action |
UEBA 異常資料銷毀
說明: 攻擊者可能會在特定系統或大量網路上銷毀資料與檔案,以中斷系統、服務及網路資源的可用性。 資料銷毀很可能使儲存的資料無法被鑑識技術修復,透過覆寫本地及遠端硬碟上的檔案或資料。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Azure Activity logs |
| MITRE ATT&CK 戰術: | 影響 |
| MITRE ATT&CK 技巧: | T1485 - 資料銷毀 |
| 活動: | Microsoft.Compute/disks/delete Microsoft.Compute/gallery/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
來自 Amazon S3 的 UEBA 異常資料傳輸
說明: 亞馬遜簡易儲存服務(Amazon Simple Storage Service) (S3) 資料存取或下載模式的偏差。 異常是利用每個使用者、服務和資源的行為基準來判定,並將資料傳輸量、頻率及存取物件數量與歷史常態進行比較。 重大偏差——例如首次大量存取、異常龐大的資料擷取,或來自新地點或應用程式的活動——可能顯示資料外洩、政策違規或被入侵憑證的濫用。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | AWS CloudTrail 日誌 |
| MITRE ATT&CK 戰術: | 外流 |
| MITRE ATT&CK 技巧: | T1567 - 透過網路服務進行外洩 |
| 活動: | PutObject、CopyObject、UploadPart、UploadPartCopy、CreateJob、CompleteMultipartUpload |
UEBA 異常防禦機制修改
說明: 敵人可能會停用安全工具,以避免其工具與活動被偵測到。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Azure Activity logs |
| MITRE ATT&CK 戰術: | 防禦規避 |
| MITRE ATT&CK 技巧: | T1562 - 削弱防禦 |
| MITRE ATT&CK 子技術: | 停用或修改工具 停用或修改雲端防火牆 |
| 活動: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
UEBA 異常登入失敗
說明: 對系統或環境中合法憑證毫無先前知識的對手,可能會猜測密碼以嘗試存取帳號。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 登入日誌 Windows 安全性日誌 |
| MITRE ATT&CK 戰術: | 認證存取 |
| MITRE ATT&CK 技巧: | T1110 - 蠻力 |
| 活動: |
Microsoft Entra ID:登入活動 Windows 安全性:事件ID 462) 5 (登入失敗 |
UEBA AwsCloudTrail 中的異常聯邦(SAML 身份活動)
說明: 聯邦或安全斷言標記語言 (SAML) 基於身份的異常活動,涉及首次操作、不熟悉的地理位置或過度的 API 呼叫。 此類異常可能表示會話劫持或聯邦憑證被濫用。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | AWS CloudTrail 日誌 |
| MITRE ATT&CK 戰術: | 初始存取與持久性 |
| MITRE ATT&CK 技巧: | T1078 - 有效帳號,T1550 - 使用替代認證資料 |
| 活動: | 使用者認證 (EXTERNAL_IDP) |
UEBA Anomalous IAM Privilege Modification in AwsCloudTrail
說明: IA) M在管理行為 (身份與存取管理的偏差,例如首次建立、修改或刪除角色、使用者及群組,或附加新的內線或受管理政策。 這些可能代表特權升級或政策濫用。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | AWS CloudTrail 日誌 |
| MITRE ATT&CK 戰術: | 權限升級與持續性 |
| MITRE ATT&CK 技巧: | T1136 - 建立帳號,T1098 - 帳號操作 |
| 活動: | iam.amazonaws.com、sso-directory.amazonaws.com 的建立、新增、附加、刪除、停用、置入及更新操作 |
AwsCloudTrail 中的 UEBA 異常登入
說明: 亞馬遜網路服務 (AWS) 服務中出現異常登入活動,基於CloudTrail事件,如ConsoleLogin及其他與認證相關的屬性。 異常現象是由使用者行為偏差所決定,基於地理位置、裝置指紋、ISP 及存取方式等屬性,可能表示未授權存取嘗試或潛在政策違規。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | AWS CloudTrail 日誌 |
| MITRE ATT&CK 戰術: | 初次存取 |
| MITRE ATT&CK 技巧: | T1078 - 有效帳號 |
| 活動: | 主控台登入 |
UEBA Okta_CL 中異常的多重因素驗證失敗
說明: Okta 中 MFA 嘗試失敗的異常模式。 這些異常可能源自帳號濫用、憑證填充或不當使用受信任裝置機制,且常反映早期攻擊行為,例如測試被盜憑證或深入身份防護。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Okta 雲端日誌 |
| MITRE ATT&CK 戰術: | 持續性,權限提升 |
| MITRE ATT&CK 技巧: | T1078 - 有效帳號,T1556 - 修改認證流程 |
| 活動: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass 用戶.mfa.factor.deactivate user.mfa.factor.reset_all 用戶.mfa.factor.suspend user.mfa.okta_verify |
UEBA 異常密碼重設
說明: 攻擊者可能會透過阻擋合法使用者使用的帳號存取,來中斷系統與網路資源的可用性。 帳號可能會被刪除、鎖定或操作,例如更改憑證) 移除帳號存取權 (。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 審計日誌 |
| MITRE ATT&CK 戰術: | 影響 |
| MITRE ATT&CK 技巧: | T1531 - 帳號存取移除 |
| 活動: | 核心目錄/使用者管理/使用者密碼重設 |
UEBA 異常特權授予
說明:攻擊者除了現有合法憑證外,還可為 Azure 服務主體新增由攻擊者控制的憑證,以維持對受害者 Azure 帳號的持續存取權限。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 審計日誌 |
| MITRE ATT&CK 戰術: | 持續性 |
| MITRE ATT&CK 技巧: | T1098 - 帳號操作 |
| MITRE ATT&CK 子技術: | Additional Azure Service Principal Credentials |
| 活動: | 帳號配置/應用程式管理/將應用程式角色指派給服務主體 |
UEBA 異常秘密或 KMS 金鑰存取 AwsCloudTrail
說明: 對 AWS Secrets Manager 或 KMS) 資源 (金鑰管理服務的可疑存取。 首次存取或異常高的存取頻率可能表示憑證收集或資料外洩嘗試。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | AWS CloudTrail 日誌 |
| MITRE ATT&CK 戰術: | 憑證存取與收集 |
| MITRE ATT&CK 技巧: | T1555 - 密碼儲存庫的憑證 |
| 活動: | GetSecretValue BatchGetSecretValue 清單鍵 秘密清單 PutSecretValue 創造秘密 秘密更新 刪除秘密 CreateKey PutKeyPolicy |
UEBA 異常登入
說明: 攻擊者可能會利用憑證存取技術竊取特定使用者或服務帳號的憑證,或在偵察過程中透過社會工程術提前擷取憑證以獲取持久性。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 登入日誌 Windows 安全性日誌 |
| MITRE ATT&CK 戰術: | 持續性 |
| MITRE ATT&CK 技巧: | T1078 - 有效帳號 |
| 活動: |
Microsoft Entra ID:登入活動 Windows 安全性:成功登入 (事件ID 4624) |
UEBA 異常 STS 在 AwsCloudTrail 中承擔角色行為
說明: AWS 安全令牌服務 (STS) AssumeRole 行動的異常使用,特別是涉及特權角色或跨帳號存取時。 與一般使用方式不同的情況可能代表權限升級或身份外洩。
| 屬性 | 值 |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | AWS CloudTrail 日誌 |
| MITRE ATT&CK 戰術: | 特權升級與防禦規避 |
| MITRE ATT&CK 技巧: | T1548 - 濫用高階控制機制,T1078 - 有效帳號 |
| 活動: | 承擔角色 AssumeRoleWithSAML AssumeRoleWithWebIdentity 假設根 |
基於機器學習的異常現象
Microsoft Sentinel 可自訂、基於機器學習的異常現象,能透過分析規則範本識別異常行為,這些範本可立即啟用。 雖然異常本身不一定代表惡意或可疑行為,但它們仍可用來提升偵測、調查及威脅狩獵。
- 異常 Azure 操作
- 異常程式碼執行
- 異常的地方帳號建立
- Office Exchange 中的異常使用者活動
- 嘗試電腦暴力破解
- 嘗試使用者帳號暴力破解
- 嘗試使用者帳號暴力破解次數
- 嘗試使用使用者帳號暴力破解,但失敗原因
- 偵測機器產生的網路信標行為
- DNS網域 (DGA) 的網域生成演算法
- 透過帕洛阿爾托 GlobalProtect 的過度下載
- 透過帕洛奧圖 GlobalProtect 的過度上傳
- 潛在的網域產生演算法 (DGA) 於次階 DNS 網域上
- 來自非 AWS 來源 IP 位址的 AWS API 呼叫數量異常可疑
- AWS從使用者帳號撰寫API呼叫的可疑數量
- 電腦登入數量異常多
- 有大量可疑的登入紀錄,且令牌高漲
- 使用者帳號登入數量異常
- 依登入類型對使用者帳號的可疑登入量
- 使用提升代幣登入用戶帳號的可疑數量
異常 Azure 操作
說明:此偵測演算法會收集 21 天的 Azure 操作資料,依使用者分組以訓練此機器學習模型。 當使用者執行了工作空間中罕見的操作序列時,演算法會產生異常現象。 訓練好的機器學習模型會對使用者執行的操作進行評分,並考慮那些分數超過定義閾值的異常操作。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | Azure Activity logs |
| MITRE ATT&CK 戰術: | 初次存取 |
| MITRE ATT&CK 技巧: | T1190 - 漏洞 Public-Facing 應用 |
異常程式碼執行
說明: 攻擊者可能會濫用指令與腳本直譯器來執行指令、腳本或二進位檔。 這些介面與語言提供了與電腦系統互動的方式,並且是許多不同平台上的共通特徵。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | Azure Activity logs |
| MITRE ATT&CK 戰術: | 執行 |
| MITRE ATT&CK 技巧: | T1059 - 指令與腳本直譯器 |
異常的地方帳號建立
說明: 此演算法偵測 Windows 系統上的異常本地帳號建立。 攻擊者可能會建立本地帳號以維持對目標系統的存取權限。 此演算法分析過去14天內用戶在地創建帳號的活動。 它會尋找過去未曾在歷史活動中出現的用戶,當天是否有類似的活動。 你可以設定允許清單來過濾已知使用者,避免觸發此異常。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | Windows 安全性日誌 |
| MITRE ATT&CK 戰術: | 持續性 |
| MITRE ATT&CK 技巧: | T1136 - 建立帳號 |
Office Exchange 中的異常使用者活動
說明: 此機器學習模型將 Office Exchange 日誌依使用者分類為每小時的桶。 我們定義一小時為一場會談。 模型是根據過去7天所有一般 (非管理員) 使用者的行為進行訓練。 它表示過去一天的 Office Exchange 會話異常。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | Exchange) 辦公室活動日誌 ( |
| MITRE ATT&CK 戰術: | 持續性 集合 |
| MITRE ATT&CK 技巧: |
收藏: T1114 - Email 收集 T1213 - 來自資訊庫的資料 堅持: T1098 - 帳號操作 T1136 - 建立帳號 T1137 - Office 應用程式啟動 T1505 - 伺服器軟體元件 |
嘗試電腦暴力破解
說明: 此演算法在過去一天內偵測到異常高的登入失敗次數 (每台電腦的安全事件ID 4625) 。 該模型是根據過去 21 天的 Windows 安全事件日誌進行訓練的。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | Windows 安全性日誌 |
| MITRE ATT&CK 戰術: | 認證存取 |
| MITRE ATT&CK 技巧: | T1110 - 蠻力 |
嘗試使用者帳號暴力破解
說明: 此演算法在過去一天內,每位使用者帳號偵測到異常高 (安全事件ID 4625) 的登入失敗次數。 該模型是根據過去 21 天的 Windows 安全事件日誌進行訓練的。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | Windows 安全性日誌 |
| MITRE ATT&CK 戰術: | 認證存取 |
| MITRE ATT&CK 技巧: | T1110 - 蠻力 |
嘗試使用者帳號暴力破解次數
說明: 此演算法在過去一天內,每位使用者帳號 (登入類型中,偵測到異常高的登入失敗次數安全事件ID 4625) 。 該模型是根據過去 21 天的 Windows 安全事件日誌進行訓練的。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | Windows 安全性日誌 |
| MITRE ATT&CK 戰術: | 認證存取 |
| MITRE ATT&CK 技巧: | T1110 - 蠻力 |
嘗試使用使用者帳號暴力破解,但失敗原因
說明: 此演算法在過去一天內,每個使用者帳號 (每) 失敗原因,偵測到異常高的登入失敗次數安全事件ID 4625。 該模型是根據過去 21 天的 Windows 安全事件日誌進行訓練的。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | Windows 安全性日誌 |
| MITRE ATT&CK 戰術: | 認證存取 |
| MITRE ATT&CK 技巧: | T1110 - 蠻力 |
偵測機器產生的網路信標行為
說明: 此演算法根據網路流量連線日誌中的重複時間差模式,識別信標模式。 任何在重複時間差中與不受信任的公共網路連線,都是惡意軟體回撥或資料外洩嘗試的指標。 該演算法會計算同一來源 IP 與目的 IP 之間連續網路連線的時間差,以及同一來源與目的地之間時間差序列中的連線數。 信標百分比以時間差序列中的連接數與一天內的總連接數計算。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | CommonSecurityLog (PAN) |
| MITRE ATT&CK 戰術: | 指揮與控制 |
| MITRE ATT&CK 技巧: | T1071 - 應用層協定 T1132 - 資料編碼 T1001 - 資料混淆 T1568 - 動態解析度 T1573 - 加密通道 T1008 - 備用通道 T1104 - 多階段通道 T1095 - 非應用層協定 T1571 - 非 Standard 埠 T1572 - 協定隧道 T1090 - 代理 T1205 - 交通號誌 T1102 - 網路服務 |
DNS網域 (DGA) 的網域生成演算法
說明: 此機器學習模型顯示 DNS 日誌中過去一天可能使用的 DGA 網域。 此演算法適用於解析為 IPv4 和 IPv6 位址的 DNS 紀錄。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | DNS 事件 |
| MITRE ATT&CK 戰術: | 指揮與控制 |
| MITRE ATT&CK 技巧: | T1568 - 動態解析度 |
透過帕洛阿爾托 GlobalProtect 的過度下載
說明: 此演算法透過 Palo Alto VPN 解決方案偵測每個用戶帳號的異常高下載量。 模型是根據過去 14 天的 VPN 日誌訓練的。 顯示過去一天下載量異常高。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK 戰術: | 外流 |
| MITRE ATT&CK 技巧: | T1030 - 資料傳輸大小限制 T1041 - 經由 C2 通道的外洩 T1011 - 透過其他網路媒介的外洩 T1567 - 透過網路服務進行外洩 T1029 - 預定轉運 T1537 - 將資料轉移到雲端帳戶 |
透過帕洛奧圖 GlobalProtect 的過度上傳
說明: 此演算法透過 Palo Alto VPN 解決方案偵測每個用戶帳號異常高的上傳量。 模型是根據過去 14 天的 VPN 日誌訓練的。 這表示過去一天上傳量異常高。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK 戰術: | 外流 |
| MITRE ATT&CK 技巧: | T1030 - 資料傳輸大小限制 T1041 - 經由 C2 通道的外洩 T1011 - 透過其他網路媒介的外洩 T1567 - 透過網路服務進行外洩 T1029 - 預定轉運 T1537 - 將資料轉移到雲端帳戶 |
潛在的網域產生演算法 (DGA) 於次階 DNS 網域上
說明: 此機器學習模型顯示出來自 DNS 日誌最後一天) (第三層及以上的不尋常網域名稱中,第三層級及以上的網域名稱。 它們可能是 DGA) (域生成演算法的輸出。 異常現象適用於解析為 IPv4 和 IPv6 位址的 DNS 紀錄。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | DNS 事件 |
| MITRE ATT&CK 戰術: | 指揮與控制 |
| MITRE ATT&CK 技巧: | T1568 - 動態解析度 |
來自非 AWS 來源 IP 位址的 AWS API 呼叫數量異常可疑
說明: 此演算法在過去一天內,偵測到每個使用者帳號、每個工作空間中來自 AWS 來源 IP 範圍外的 AWS API 呼叫量異常高。 該模型是根據過去 21 天 AWS CloudTrail 日誌事件,依來源 IP 位址訓練的。 此行為可能表示用戶帳號遭入侵。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | AWS CloudTrail 日誌 |
| MITRE ATT&CK 戰術: | 初次存取 |
| MITRE ATT&CK 技巧: | T1078 - 有效帳號 |
AWS從使用者帳號撰寫API呼叫的可疑數量
說明: 此演算法在過去一天內偵測到每個使用者帳號異常大量的 AWS 寫入 API 呼叫。 該模型是根據使用者帳號過去 21 天的 AWS CloudTrail 日誌事件訓練的。 此行為可能表示帳號遭到入侵。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | AWS CloudTrail 日誌 |
| MITRE ATT&CK 戰術: | 初次存取 |
| MITRE ATT&CK 技巧: | T1078 - 有效帳號 |
電腦登入數量異常多
說明: 此演算法在過去一天內,每台電腦偵測到安全事件ID 4624 (成功登入的異常高) 。 該模型是根據過去 21 天的 Windows 安全性事件日誌進行訓練的。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | Windows 安全性日誌 |
| MITRE ATT&CK 戰術: | 初次存取 |
| MITRE ATT&CK 技巧: | T1078 - 有效帳號 |
有大量可疑的登入紀錄,且令牌高漲
說明: 此演算法在過去一天內,每台電腦偵測到 (安全事件ID 4624) 的成功登入數量異常高,且每台電腦擁有管理員權限。 該模型是根據過去 21 天的 Windows 安全性事件日誌進行訓練的。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | Windows 安全性日誌 |
| MITRE ATT&CK 戰術: | 初次存取 |
| MITRE ATT&CK 技巧: | T1078 - 有效帳號 |
使用者帳號登入數量異常
說明: 此演算法在過去一天內,每位使用者帳號偵測到安全事件ID 4624) 成功登入數量異常高 (。 該模型是根據過去 21 天的 Windows 安全性事件日誌進行訓練的。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | Windows 安全性日誌 |
| MITRE ATT&CK 戰術: | 初次存取 |
| MITRE ATT&CK 技巧: | T1078 - 有效帳號 |
依登入類型對使用者帳號的可疑登入量
說明: 此演算法在過去一天內,能偵測到每個使用者帳號 (安全事件ID 4624) ,由不同登入類型成功登入的數量異常高。 該模型是根據過去 21 天的 Windows 安全性事件日誌進行訓練的。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | Windows 安全性日誌 |
| MITRE ATT&CK 戰術: | 初次存取 |
| MITRE ATT&CK 技巧: | T1078 - 有效帳號 |
使用提升代幣登入用戶帳號的可疑數量
說明: 此演算法在過去一天內,能偵測到 (安全事件ID 4624) ,且每個使用者帳號擁有管理員權限的成功登入數量異常高。 該模型是根據過去 21 天的 Windows 安全性事件日誌進行訓練的。
| 屬性 | 值 |
|---|---|
| 異常類型: | 可自訂的機器學習 |
| 資料來源: | Windows 安全性日誌 |
| MITRE ATT&CK 戰術: | 初次存取 |
| MITRE ATT&CK 技巧: | T1078 - 有效帳號 |