Anomalie wykryte przez aparat uczenia maszynowego usługi Microsoft Sentinel
W tym artykule wymieniono anomalie wykrywane przez usługę Microsoft Sentinel przy użyciu różnych modeli uczenia maszynowego.
Wykrywanie anomalii działa przez analizowanie zachowania użytkowników w środowisku w danym okresie i konstruowanie punktu odniesienia uzasadnionej aktywności. Po ustanowieniu punktu odniesienia wszelkie działania poza normalnymi parametrami są uznawane za nietypowe i dlatego podejrzane.
Usługa Microsoft Sentinel używa dwóch różnych modeli do tworzenia punktów odniesienia i wykrywania anomalii.
Uwaga
Następujące wykrycia anomalii są przerywane od 26 marca 2024 r., ze względu na niską jakość wyników:
- Reputacja domeny Palo Alto anomalia
- Logowania w wielu regionach w ciągu jednego dnia za pośrednictwem aplikacji Palo Alto GlobalProtect
Ważne
Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Anomalie UEBA
Usługa Sentinel UEBA wykrywa anomalie na podstawie dynamicznych punktów odniesienia utworzonych dla każdej jednostki w różnych danych wejściowych. Zachowanie punktu odniesienia każdej jednostki jest ustawiane zgodnie z własnymi działaniami historycznymi, ich elementami równorzędnymi i całościami organizacji. Anomalie mogą być wyzwalane przez korelację różnych atrybutów, takich jak typ akcji, lokalizacja geograficzna, urządzenie, zasób, usługodawca internetowym i inne.
Aby wykryć anomalie UEBA, należy włączyć funkcję UEBA.
- Nietypowe usuwanie dostępu do konta
- Nietypowe tworzenie konta
- Nietypowe usuwanie konta
- Nietypowe manipulowanie kontem
- Nietypowe wykonywanie kodu (UEBA)
- Nietypowe niszczenie danych
- Nietypowa modyfikacja mechanizmu obronnego
- Nietypowe logowanie nie powiodło się
- Nietypowe resetowanie hasła
- Nietypowe uprawnienia przyznane
- Nietypowe logowanie
Nietypowe usuwanie dostępu do konta
Opis: Osoba atakująca może przerwać dostępność zasobów systemowych i sieciowych, blokując dostęp do kont używanych przez uprawnionych użytkowników. Osoba atakująca może usunąć, zablokować lub manipulować kontem (na przykład zmieniając jego poświadczenia), aby usunąć dostęp do niego.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki aktywności platformy Azure |
| TAKTYKA MITRE ATT&CK: | Wpływ |
| TECHNIKI MITRE ATT&CK: | T1531 — usuwanie dostępu do konta |
| Ćwiczenie: | Microsoft.Authorization/roleAssignments/delete Wylogowywanie |
Powrót do listy | anomalii UEBA Powrót do góry
Nietypowe tworzenie konta
Opis: Osoby atakujące mogą utworzyć konto, aby zachować dostęp do systemów docelowych. Mając wystarczający poziom dostępu, tworzenie takich kont może służyć do ustanawiania dodatkowego dostępu poświadczeń bez konieczności wdrażania trwałych narzędzi dostępu zdalnego w systemie.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki inspekcji usługi Microsoft Entra |
| TAKTYKA MITRE ATT&CK: | Trwałość |
| TECHNIKI MITRE ATT&CK: | T1136 — Tworzenie konta |
| Techniki podrzędne MITRE ATT&CK: | Konto w chmurze |
| Ćwiczenie: | Katalog podstawowy/userManagement/Dodawanie użytkownika |
Powrót do listy | anomalii UEBA Powrót do góry
Nietypowe usuwanie konta
Opis: Przeciwnicy mogą przerwać dostępność systemu i zasobów sieciowych, hamując dostęp do kont używanych przez uprawnionych użytkowników. Konta mogą zostać usunięte, zablokowane lub manipulowane (np. zmienione poświadczenia), aby usunąć dostęp do kont.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki inspekcji usługi Microsoft Entra |
| TAKTYKA MITRE ATT&CK: | Wpływ |
| TECHNIKI MITRE ATT&CK: | T1531 — usuwanie dostępu do konta |
| Ćwiczenie: | Katalog podstawowy/użytkownikZarządzanie/Usuwanie użytkownika Katalog podstawowy/urządzenie/usuwanie użytkownika Katalog podstawowy/użytkownikZarządzanie/Usuwanie użytkownika |
Powrót do listy | anomalii UEBA Powrót do góry
Nietypowe manipulowanie kontem
Opis: Przeciwnicy mogą manipulować kontami w celu utrzymania dostępu do systemów docelowych. Te akcje obejmują dodawanie nowych kont do grup z wysokimi uprawnieniami. Dragonfly 2.0, na przykład, dodano nowo utworzone konta do grupy administratorów, aby zachować podwyższony poziom dostępu. Poniższe zapytanie generuje dane wyjściowe wszystkich użytkowników usługi Radius o wysokiej wydajności wykonujących funkcję "Aktualizuj użytkownika" (zmianę nazwy) na rolę uprzywilejowaną lub tych, którzy zmienili użytkowników po raz pierwszy.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki inspekcji usługi Microsoft Entra |
| TAKTYKA MITRE ATT&CK: | Trwałość |
| TECHNIKI MITRE ATT&CK: | T1098 — manipulowanie kontem |
| Ćwiczenie: | Katalog podstawowy/użytkownikZarządzanie/Aktualizowanie użytkownika |
Powrót do listy | anomalii UEBA Powrót do góry
Nietypowe wykonywanie kodu (UEBA)
Opis: Przeciwnicy mogą nadużywać interpreterów poleceń i skryptów w celu wykonywania poleceń, skryptów lub plików binarnych. Te interfejsy i języki zapewniają sposoby interakcji z systemami komputerowymi i są wspólną funkcją na wielu różnych platformach.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki aktywności platformy Azure |
| TAKTYKA MITRE ATT&CK: | Wykonanie |
| TECHNIKI MITRE ATT&CK: | T1059 — interpreter poleceń i skryptów |
| Techniki podrzędne MITRE ATT&CK: | PowerShell |
| Ćwiczenie: | Microsoft.Compute/virtualMachines/runCommand/action |
Powrót do listy | anomalii UEBA Powrót do góry
Nietypowe niszczenie danych
Opis: Przeciwnicy mogą zniszczyć dane i pliki w określonych systemach lub w dużej liczbie w sieci, aby przerwać dostępność systemów, usług i zasobów sieciowych. Niszczenie danych może renderować przechowywane dane w sposób nieodzyskiwalny przez techniki kryminalistyczne poprzez zastępowanie plików lub danych na lokalnych i zdalnych dyskach.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki aktywności platformy Azure |
| TAKTYKA MITRE ATT&CK: | Wpływ |
| TECHNIKI MITRE ATT&CK: | T1485 — niszczenie danych |
| Ćwiczenie: | Microsoft.Compute/disks/delete Microsoft.Compute/gallerys/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Powrót do listy | anomalii UEBA Powrót do góry
Nietypowa modyfikacja mechanizmu obronnego
Opis: Przeciwnicy mogą wyłączyć narzędzia zabezpieczeń, aby uniknąć możliwego wykrywania ich narzędzi i działań.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki aktywności platformy Azure |
| TAKTYKA MITRE ATT&CK: | Uchylanie się od obrony |
| TECHNIKI MITRE ATT&CK: | T1562 - Upośledzenie obrony |
| Techniki podrzędne MITRE ATT&CK: | Wyłączanie lub modyfikowanie narzędzi Wyłączanie lub modyfikowanie zapory w chmurze |
| Ćwiczenie: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Powrót do listy | anomalii UEBA Powrót do góry
Nietypowe logowanie nie powiodło się
Opis: Przeciwnicy bez wcześniejszej wiedzy na temat wiarygodnych poświadczeń w systemie lub środowisku mogą odgadnąć hasła do próby uzyskania dostępu do kont.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki logowania w usłudze Microsoft Entra dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Dostęp poświadczeń |
| TECHNIKI MITRE ATT&CK: | T1110 — Siły brutalne |
| Ćwiczenie: | Microsoft Entra ID: działanie logowania Zabezpieczenia Windows: Logowanie nie powiodło się (zdarzenie o identyfikatorze 4625) |
Powrót do listy | anomalii UEBA Powrót do góry
Nietypowe resetowanie hasła
Opis: Przeciwnicy mogą przerwać dostępność systemu i zasobów sieciowych, hamując dostęp do kont używanych przez uprawnionych użytkowników. Konta mogą zostać usunięte, zablokowane lub manipulowane (np. zmienione poświadczenia), aby usunąć dostęp do kont.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki inspekcji usługi Microsoft Entra |
| TAKTYKA MITRE ATT&CK: | Wpływ |
| TECHNIKI MITRE ATT&CK: | T1531 — usuwanie dostępu do konta |
| Ćwiczenie: | Katalog podstawowy/UserManagement/Resetowanie hasła użytkownika |
Powrót do listy | anomalii UEBA Powrót do góry
Nietypowe uprawnienia przyznane
Opis: Osoby atakujące mogą dodawać poświadczenia kontrolowane przez przeciwników dla jednostek usługi platformy Azure oprócz istniejących wiarygodnych poświadczeń w celu utrzymania trwałego dostępu do kont platformy Azure ofiary.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki inspekcji usługi Microsoft Entra |
| TAKTYKA MITRE ATT&CK: | Trwałość |
| TECHNIKI MITRE ATT&CK: | T1098 — manipulowanie kontem |
| Techniki podrzędne MITRE ATT&CK: | Dodatkowe poświadczenia jednostki usługi platformy Azure |
| Ćwiczenie: | Aprowizowanie konta/zarządzanie aplikacjami/Dodawanie przypisania roli aplikacji do jednostki usługi |
Powrót do listy | anomalii UEBA Powrót do góry
Nietypowe logowanie
Opis: Przeciwnicy mogą ukraść poświadczenia określonego użytkownika lub konta usługi przy użyciu technik dostępu poświadczeń lub przechwycić poświadczenia wcześniej w procesie rekonesansu za pomocą inżynierii społecznej w celu uzyskania trwałości.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | UEBA |
| Źródła danych: | Dzienniki logowania w usłudze Microsoft Entra dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Trwałość |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta |
| Ćwiczenie: | Microsoft Entra ID: działanie logowania Zabezpieczenia Windows: Pomyślne zalogowanie (identyfikator zdarzenia 4624) |
Powrót do listy | anomalii UEBA Powrót do góry
Anomalie oparte na uczeniu maszynowym
Dostosowywalne anomalie oparte na uczeniu maszynowym w usłudze Microsoft Sentinel mogą identyfikować nietypowe zachowanie za pomocą szablonów reguł analitycznych, które można umieścić w odpowiednim czasie. Chociaż anomalie niekoniecznie wskazują złośliwe lub nawet podejrzane zachowanie, mogą służyć do ulepszania wykrywania, badania i wyszukiwania zagrożeń.
- Nietypowe sesje logowania w usłudze Microsoft Entra
- Nietypowe operacje platformy Azure
- Nietypowe wykonywanie kodu
- Nietypowe tworzenie konta lokalnego
- Nietypowe działanie skanowania
- Nietypowe działania użytkownika w programie Office Exchange
- Nietypowe działania użytkowników/aplikacji w dziennikach inspekcji platformy Azure
- Nietypowe działanie dzienników W3CIIS
- Nietypowe działanie żądania internetowego
- Podjęto próbę ataku siłowego komputera
- Podjęto próbę ataku siłowego konta użytkownika
- Podjęto próbę ataku siłowego konta użytkownika na typ logowania
- Podjęto próbę ataku siłowego konta użytkownika na przyczynę niepowodzenia
- Wykrywanie zachowania sygnału nawigacyjnego wygenerowanego przez maszynę
- Algorytm generowania domeny (DGA) w domenach DNS
- Reputacja domeny Palo Alto anomalii (PRZERWANE)
- Nadmierna anomalia transferu danych
- Nadmierne pobieranie za pośrednictwem aplikacji Palo Alto GlobalProtect
- Nadmierne przekazywanie za pośrednictwem aplikacji Palo Alto GlobalProtect
- Zaloguj się z nietypowego regionu za pośrednictwem logowań konta Palo Alto GlobalProtect
- Logowania w wielu regionach w ciągu jednego dnia za pośrednictwem aplikacji Palo Alto GlobalProtect (PRZERWANE)
- Potencjalne przemieszczanie danych
- Potencjalny algorytm generowania domeny (DGA) w domenach DNS na następnym poziomie
- Podejrzana zmiana lokalizacji geograficznej w identyfikatorach logowania do konta Palo Alto GlobalProtect
- Podejrzana liczba chronionych dokumentów, do których uzyskiwano dostęp
- Podejrzana liczba wywołań interfejsu API platformy AWS ze źródłowego adresu IP innego niż AWS
- Podejrzana liczba zdarzeń dziennika usługi AWS CloudTrail konta użytkownika grupy według eventTypeName
- Podejrzana liczba wywołań interfejsu API zapisu platformy AWS z konta użytkownika
- Podejrzana liczba nieudanych prób logowania do konsoli platformy AWS przez każde konto użytkownika grupy
- Podejrzana liczba nieudanych prób logowania do konsoli platformy AWS według każdego źródłowego adresu IP
- Podejrzana liczba logowań na komputerze
- Podejrzana liczba logowań na komputerze z podwyższonym poziomem uprawnień
- Podejrzana liczba logowań do konta użytkownika
- Podejrzana liczba logowań do konta użytkownika według typów logowania
- Podejrzana liczba logowań do konta użytkownika z podwyższonym poziomem uprawnień
- Wykryto nietypowy zewnętrzny alarm zapory
- Niezwykła masowa obniżanie etykiety usługi AIP
- Nietypowa komunikacja sieciowa na często używanych portach
- Anomalia nietypowego woluminu sieciowego
- Wykryto nietypowy ruch internetowy z adresem IP w ścieżce adresu URL
Nietypowe sesje logowania w usłudze Microsoft Entra
Opis: Model uczenia maszynowego grupuje dzienniki logowania firmy Microsoft dla poszczególnych użytkowników. Model jest trenowany w ciągu ostatnich 6 dni od zachowania logowania użytkownika. Wskazuje to nietypowe sesje logowania użytkownika w ciągu ostatniego dnia.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | Dzienniki logowania w usłudze Microsoft Entra |
| TAKTYKA MITRE ATT&CK: | Dostęp początkowy |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta T1566 — Wyłudzanie informacji T1133 — zewnętrzne usługi zdalne |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Nietypowe operacje platformy Azure
Opis: Ten algorytm wykrywania zbiera dane o wartości 21 dni w operacjach platformy Azure pogrupowanych według użytkownika w celu wytrenowania tego modelu uczenia maszynowego. Następnie algorytm generuje anomalie w przypadku użytkowników, którzy wykonali sekwencje operacji rzadko w swoich obszarach roboczych. Wytrenowany model uczenia maszynowego ocenia operacje wykonywane przez użytkownika i uwzględnia nietypowe, których wynik jest większy niż zdefiniowany próg.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | Dzienniki aktywności platformy Azure |
| TAKTYKA MITRE ATT&CK: | Dostęp początkowy |
| TECHNIKI MITRE ATT&CK: | T1190 — Wykorzystanie aplikacji dostępnej publicznie |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Nietypowe wykonywanie kodu
Opis: Osoby atakujące mogą nadużywać interpreterów poleceń i skryptów w celu wykonywania poleceń, skryptów lub plików binarnych. Te interfejsy i języki zapewniają sposoby interakcji z systemami komputerowymi i są wspólną funkcją na wielu różnych platformach.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | Dzienniki aktywności platformy Azure |
| TAKTYKA MITRE ATT&CK: | Wykonanie |
| TECHNIKI MITRE ATT&CK: | T1059 — interpreter poleceń i skryptów |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Nietypowe tworzenie konta lokalnego
Opis: Ten algorytm wykrywa nietypowe tworzenie konta lokalnego w systemach Windows. Osoby atakujące mogą tworzyć konta lokalne, aby zachować dostęp do systemów docelowych. Ten algorytm analizuje działania tworzenia konta lokalnego w ciągu ostatnich 14 dni od użytkowników. Szuka podobnych działań w bieżącym dniu od użytkowników, którzy nie byli wcześniej widziani w działaniu historycznym. Możesz określić listę dozwolonych, aby filtrować znanych użytkowników z wyzwalania tej anomalii.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Trwałość |
| TECHNIKI MITRE ATT&CK: | T1136 — Tworzenie konta |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Nietypowe działanie skanowania
Opis: Ten algorytm wyszukuje działanie skanowania portów pochodzące z jednego źródłowego adresu IP do co najmniej jednego docelowego adresu IP, które nie jest zwykle widoczne w danym środowisku.
Algorytm uwzględnia, czy adres IP jest publiczny/zewnętrzny, czy prywatny/wewnętrzny, a zdarzenie jest odpowiednio oznaczone. Obecnie rozważana jest tylko działalność prywatna-publiczna lub publiczna-prywatna. Działanie skanowania może wskazywać, że osoba atakująca próbuje określić dostępne usługi w środowisku, które mogą być potencjalnie wykorzystywane i używane do ruchu przychodzącego lub bocznego. Duża liczba portów źródłowych i duża liczba portów docelowych z jednego źródłowego adresu IP do jednego lub wielu docelowych adresów IP lub adresów IP może być interesująca i wskazywać na nietypowe skanowanie. Ponadto, jeśli istnieje wysoki stosunek adresów IP docelowych do pojedynczego źródłowego adresu IP, może to wskazywać na nietypowe skanowanie.
Szczegóły konfiguracji:
- Domyślne uruchomienie zadania to codziennie z przedziałami godzinowymi.
Algorytm używa następujących konfigurowalnych wartości domyślnych, aby ograniczyć wyniki na podstawie przedziałów godzinowych. - Uwzględnione akcje urządzenia — akceptowanie, zezwalanie, uruchamianie
- Wykluczone porty — 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
- Liczba unikatowych portów >docelowych = 600
- Liczba unikatowych portów >źródłowych = 600
- Liczba unikatowych portów źródłowych podzielona przez odrębny port docelowy, współczynnik przekonwertowany na procent >= 99,99
- Źródłowy adres IP (zawsze 1) podzielony przez docelowy adres IP, współczynnik przekonwertowany na procent >= 99,99
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| TAKTYKA MITRE ATT&CK: | Odnajdowanie |
| TECHNIKI MITRE ATT&CK: | T1046 — skanowanie usługi sieciowej |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Nietypowe działania użytkownika w programie Office Exchange
Opis: Ten model uczenia maszynowego grupuje dzienniki programu Office Exchange dla poszczególnych użytkowników w zasobnikach godzinowych. Definiujemy jedną godzinę jako sesję. Model jest trenowany w ciągu ostatnich 7 dni od wszystkich zwykłych (niebędących administratorami) użytkowników. Wskazuje on nietypowe sesje programu Office Exchange użytkownika w ciągu ostatniego dnia.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | Dziennik aktywności pakietu Office (Exchange) |
| TAKTYKA MITRE ATT&CK: | Trwałość Kolekcja |
| TECHNIKI MITRE ATT&CK: | Kolekcji: T1114 — Kolekcja wiadomości e-mail T1213 — dane z repozytoriów informacji Trwałości: T1098 — manipulowanie kontem T1136 — Tworzenie konta T1137 — Uruchamianie aplikacji pakietu Office T1505 — składnik oprogramowania serwera |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Nietypowe działania użytkowników/aplikacji w dziennikach inspekcji platformy Azure
Opis: Ten algorytm identyfikuje nietypowe sesje użytkownika/aplikacji platformy Azure w dziennikach inspekcji ostatniego dnia na podstawie zachowania z ostatnich 21 dni we wszystkich użytkownikach i aplikacjach. Algorytm sprawdza wystarczającą ilość danych przed rozpoczęciem trenowania modelu.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | Dzienniki inspekcji usługi Microsoft Entra |
| TAKTYKA MITRE ATT&CK: | Kolekcja Odnajdowanie Dostęp początkowy Trwałość Eskalacja uprawnień |
| TECHNIKI MITRE ATT&CK: | Kolekcji: T1530 — dane z obiektu magazynu w chmurze Odnajdywanie: T1087 — odnajdywanie kont T1538 — pulpit nawigacyjny usługi w chmurze T1526 — Odnajdywanie usługi w chmurze T1069 — odnajdywanie grup uprawnień T1518 — Odnajdywanie oprogramowania Dostęp początkowy: T1190 — Wykorzystanie aplikacji dostępnej publicznie T1078 — prawidłowe konta Trwałości: T1098 — manipulowanie kontem T1136 — Tworzenie konta T1078 — prawidłowe konta Eskalacja uprawnień. T1484 — modyfikacja zasad domeny T1078 — prawidłowe konta |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Nietypowe działanie dzienników W3CIIS
Opis: Ten algorytm uczenia maszynowego wskazuje nietypowe sesje usług IIS w ciągu ostatniego dnia. Przechwytuje na przykład niezwykle dużą liczbę unikatowych zapytań identyfikatora URI, agentów użytkowników lub dzienników w sesji albo określonych czasowników HTTP lub stanów HTTP w sesji. Algorytm identyfikuje nietypowe zdarzenia W3CIISLog w ciągu godziny, pogrupowane według nazwy lokacji i adresu IP klienta. Model jest trenowany w ciągu ostatnich 7 dni działania usług IIS. Algorytm sprawdza wystarczającą ilość działań usług IIS przed wytreniem modelu.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | Dzienniki W3CIIS |
| TAKTYKA MITRE ATT&CK: | Dostęp początkowy Trwałość |
| TECHNIKI MITRE ATT&CK: | Dostęp początkowy: T1190 — Wykorzystanie aplikacji dostępnej publicznie Trwałości: T1505 — składnik oprogramowania serwera |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Nietypowe działanie żądania internetowego
Opis: Ten algorytm grupuje zdarzenia W3CIISLog na sesje godzinowe pogrupowane według nazwy witryny i identyfikatora URI stem. Model uczenia maszynowego identyfikuje sesje z niezwykle dużą liczbą żądań, które wyzwoliły kody odpowiedzi klasy 5xx w ciągu ostatniego dnia. Kody klasy 5xx wskazują, że część niestabilności aplikacji lub warunku błędu została wyzwolona przez żądanie. Może to wskazywać, że osoba atakująca sonduje identyfikator URI pod kątem luk w zabezpieczeniach i problemów z konfiguracją, wykonując pewne działania związane z wykorzystaniem wykorzystania, takie jak wstrzyknięcie kodu SQL, lub wykorzystując lukę w zabezpieczeniach bez poprawek. Ten algorytm używa 6 dni danych do trenowania.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | Dzienniki W3CIIS |
| TAKTYKA MITRE ATT&CK: | Dostęp początkowy Trwałość |
| TECHNIKI MITRE ATT&CK: | Dostęp początkowy: T1190 — Wykorzystanie aplikacji dostępnej publicznie Trwałości: T1505 — składnik oprogramowania serwera |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Podjęto próbę ataku siłowego komputera
Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych prób logowania (identyfikator zdarzenia zabezpieczeń 4625) na komputer w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Dostęp poświadczeń |
| TECHNIKI MITRE ATT&CK: | T1110 — Siły brutalne |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Podjęto próbę ataku siłowego konta użytkownika
Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych prób logowania (identyfikator zdarzenia zabezpieczeń 4625) na konto użytkownika w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Dostęp poświadczeń |
| TECHNIKI MITRE ATT&CK: | T1110 — Siły brutalne |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Podjęto próbę ataku siłowego konta użytkownika na typ logowania
Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych prób logowania (identyfikator zdarzenia zabezpieczeń 4625) na konto użytkownika na typ logowania w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Dostęp poświadczeń |
| TECHNIKI MITRE ATT&CK: | T1110 — Siły brutalne |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Podjęto próbę ataku siłowego konta użytkownika na przyczynę niepowodzenia
Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych prób logowania (identyfikator zdarzenia zabezpieczeń 4625) na konto użytkownika na przyczynę niepowodzenia w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Dostęp poświadczeń |
| TECHNIKI MITRE ATT&CK: | T1110 — Siły brutalne |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Wykrywanie zachowania sygnału nawigacyjnego wygenerowanego przez maszynę
Opis: Ten algorytm identyfikuje wzorce sygnałów nawigacyjnych z dzienników połączeń ruchu sieciowego na podstawie cyklicznych wzorców różnic czasu. Każde połączenie sieciowe w niezaufanych sieciach publicznych w powtarzającym się czasie różnice wskazuje na wywołania zwrotne złośliwego oprogramowania lub próby eksfiltracji danych. Algorytm obliczy różnicę czasu między kolejnymi połączeniami sieciowymi między tym samym źródłowym adresem IP i docelowym adresem IP, a także liczbą połączeń w sekwencji różnic czasowej między tymi samymi źródłami i miejscami docelowymi. Wartość procentowa sygnału nawigacyjnego jest obliczana jako połączenia w sekwencji różnic czasu względem łącznej liczby połączeń w ciągu dnia.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | CommonSecurityLog (PAN) |
| TAKTYKA MITRE ATT&CK: | Sterowanie i kontrola |
| TECHNIKI MITRE ATT&CK: | T1071 — Protokół warstwy aplikacji T1132 — kodowanie danych T1001 — zaciemnianie danych T1568 — rozdzielczość dynamiczna T1573 — szyfrowany kanał T1008 — kanały rezerwowe T1104 — kanały wieloetapowe T1095 — protokół warstwy aplikacji nienależące do aplikacji T1571 — port inny niż standardowy T1572 — tunelowanie protokołu T1090 — serwer proxy T1205 — Sygnalizacja ruchu T1102 — usługa sieci Web |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Algorytm generowania domeny (DGA) w domenach DNS
Opis: Ten model uczenia maszynowego wskazuje potencjalne domeny DGA z ostatniego dnia w dziennikach DNS. Algorytm dotyczy rekordów DNS rozpoznawanych jako adresy IPv4 i IPv6.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | Zdarzenia DNS |
| TAKTYKA MITRE ATT&CK: | Sterowanie i kontrola |
| TECHNIKI MITRE ATT&CK: | T1568 — rozdzielczość dynamiczna |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Reputacja domeny Palo Alto anomalii (PRZERWANE)
Opis: Ten algorytm ocenia reputację wszystkich domen widocznych specjalnie w dziennikach produktu Palo Alto firewall (PAN-OS). Wysoki wynik anomalii wskazuje niską reputację, co sugeruje, że domena została zaobserwowana w celu hostowania złośliwej zawartości lub może to zrobić.
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Nadmierna anomalia transferu danych
Opis: Ten algorytm wykrywa nietypowo wysoki transfer danych obserwowany w dziennikach sieciowych. Używa szeregów czasowych do rozkładania danych na składniki sezonowe, trendu i reszt w celu obliczenia planu bazowego. Każde nagłe duże odchylenie od historycznego punktu odniesienia jest uznawane za nietypowe działanie.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| TAKTYKA MITRE ATT&CK: | Wyprowadzanie |
| TECHNIKI MITRE ATT&CK: | T1030 — limity rozmiaru transferu danych T1041 — Eksfiltracja przez kanał C2 T1011 — eksfiltracja za pośrednictwem innego medium sieciowego T1567 — eksfiltracja za pośrednictwem usługi internetowej T1029 — Zaplanowany transfer T1537 — transfer danych na konto w chmurze |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Nadmierne pobieranie za pośrednictwem aplikacji Palo Alto GlobalProtect
Opis: Ten algorytm wykrywa niezwykle dużą ilość pobierania na konto użytkownika za pośrednictwem rozwiązania Palo Alto VPN. Model jest trenowany w ciągu ostatnich 14 dni dzienników sieci VPN. Wskazuje to nietypowe duże ilości pobrań w ciągu ostatniego dnia.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | CommonSecurityLog (PAN VPN) |
| TAKTYKA MITRE ATT&CK: | Wyprowadzanie |
| TECHNIKI MITRE ATT&CK: | T1030 — limity rozmiaru transferu danych T1041 — Eksfiltracja przez kanał C2 T1011 — eksfiltracja za pośrednictwem innego medium sieciowego T1567 — eksfiltracja za pośrednictwem usługi internetowej T1029 — Zaplanowany transfer T1537 — transfer danych na konto w chmurze |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Nadmierne przekazywanie za pośrednictwem aplikacji Palo Alto GlobalProtect
Opis: Ten algorytm wykrywa niezwykle dużą ilość przekazywania na konto użytkownika za pośrednictwem rozwiązania Palo Alto VPN. Model jest trenowany w ciągu ostatnich 14 dni dzienników sieci VPN. Wskazuje on nietypowy duży wolumen przekazywania w ciągu ostatniego dnia.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | CommonSecurityLog (PAN VPN) |
| TAKTYKA MITRE ATT&CK: | Wyprowadzanie |
| TECHNIKI MITRE ATT&CK: | T1030 — limity rozmiaru transferu danych T1041 — Eksfiltracja przez kanał C2 T1011 — eksfiltracja za pośrednictwem innego medium sieciowego T1567 — eksfiltracja za pośrednictwem usługi internetowej T1029 — Zaplanowany transfer T1537 — transfer danych na konto w chmurze |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Zaloguj się z nietypowego regionu za pośrednictwem logowań konta Palo Alto GlobalProtect
Opis: Po zalogowaniu się konta Palo Alto GlobalProtect z regionu źródłowego, który rzadko był zalogowany z ostatnich 14 dni, jest wyzwalana anomalia. Ta anomalia może wskazywać, że konto zostało naruszone.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | CommonSecurityLog (PAN VPN) |
| TAKTYKA MITRE ATT&CK: | Dostęp poświadczeń Dostęp początkowy Ruch poprzeczny |
| TECHNIKI MITRE ATT&CK: | T1133 — zewnętrzne usługi zdalne |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Logowania w wielu regionach w ciągu jednego dnia za pośrednictwem aplikacji Palo Alto GlobalProtect (PRZERWANE)
Opis: Ten algorytm wykrywa konto użytkownika, które miało logowania z wielu nieprzyległych regionów w ciągu jednego dnia za pośrednictwem sieci VPN Palo Alto.
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Potencjalne przemieszczanie danych
Opis: Ten algorytm porównuje pobieranie różnych plików na podstawie poszczególnych użytkowników z pobieraniem dla bieżącego dnia dla każdego użytkownika, a anomalia jest wyzwalana, gdy liczba pobrań odrębnych plików przekracza skonfigurowaną liczbę odchyleń standardowych powyżej średniej. Obecnie algorytm analizuje tylko pliki często występujące podczas eksfiltracji dokumentów, obrazów, filmów wideo i archiwów za pomocą rozszerzeń doc, mp3pptpptxxlsmonexlsxpdfzipxlsdocxbmpjpgrarmp4i .mov
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | Dziennik aktywności pakietu Office (Exchange) |
| TAKTYKA MITRE ATT&CK: | Kolekcja |
| TECHNIKI MITRE ATT&CK: | T1074 — Etap danych |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Potencjalny algorytm generowania domeny (DGA) w domenach DNS na następnym poziomie
Opis: Ten model uczenia maszynowego wskazuje domeny następnego poziomu (trzeci poziom i wyższy) nazw domen z ostatniego dnia dzienników DNS, które są nietypowe. Potencjalnie mogą to być dane wyjściowe algorytmu generowania domeny (DGA). Anomalia dotyczy rekordów DNS rozpoznawanych jako adresy IPv4 i IPv6.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | Zdarzenia DNS |
| TAKTYKA MITRE ATT&CK: | Sterowanie i kontrola |
| TECHNIKI MITRE ATT&CK: | T1568 — rozdzielczość dynamiczna |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Podejrzana zmiana lokalizacji geograficznej w identyfikatorach logowania do konta Palo Alto GlobalProtect
Opis: Dopasowanie wskazuje, że użytkownik zalogował się zdalnie z kraju/regionu innego niż kraj/region ostatniego zdalnego logowania użytkownika. Ta reguła może również wskazywać na naruszenie zabezpieczeń konta, szczególnie jeśli reguła jest ściśle zgodna z czasem. Obejmuje to scenariusz niemożliwej podróży.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | CommonSecurityLog (PAN VPN) |
| TAKTYKA MITRE ATT&CK: | Dostęp początkowy Dostęp poświadczeń |
| TECHNIKI MITRE ATT&CK: | T1133 — zewnętrzne usługi zdalne T1078 — prawidłowe konta |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Podejrzana liczba chronionych dokumentów, do których uzyskiwano dostęp
Opis: Ten algorytm wykrywa dużą liczbę dostępu do chronionych dokumentów w dziennikach usługi Azure Information Protection (AIP). Uwzględnia on rekordy obciążenia usługi AIP dla danej liczby dni i określa, czy użytkownik wykonał nietypowy dostęp do chronionych dokumentów w ciągu dnia danego zachowania historycznego.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | Dzienniki usługi Azure Information Protection |
| TAKTYKA MITRE ATT&CK: | Kolekcja |
| TECHNIKI MITRE ATT&CK: | T1530 — dane z obiektu magazynu w chmurze T1213 — dane z repozytoriów informacji T1005 — dane z systemu lokalnego T1039 — dane z dysku udostępnionego sieciowego T1114 — Kolekcja wiadomości e-mail |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Podejrzana liczba wywołań interfejsu API platformy AWS ze źródłowego adresu IP innego niż AWS
Opis: Ten algorytm wykrywa niezwykle dużą liczbę wywołań interfejsu API platformy AWS na konto użytkownika na obszar roboczy z źródłowych adresów IP spoza źródłowych zakresów adresów IP platformy AWS w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni zdarzeń dziennika platformy AWS CloudTrail według źródłowego adresu IP. To działanie może wskazywać, że konto użytkownika zostało naruszone.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | Dzienniki usługi CLOUDTrail platformy AWS |
| TAKTYKA MITRE ATT&CK: | Dostęp początkowy |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Podejrzana liczba zdarzeń dziennika usługi AWS CloudTrail konta użytkownika grupy według eventTypeName
Opis: Ten algorytm wykrywa niezwykle dużą liczbę zdarzeń na konto użytkownika grupy według różnych typów zdarzeń (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction), w dzienniku platformy AWS CloudTrail w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni zdarzeń dziennika usługi AWS CloudTrail według konta użytkownika grupy. To działanie może wskazywać, że konto zostało naruszone.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | Dzienniki usługi CLOUDTrail platformy AWS |
| TAKTYKA MITRE ATT&CK: | Dostęp początkowy |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Podejrzana liczba wywołań interfejsu API zapisu platformy AWS z konta użytkownika
Opis: Ten algorytm wykrywa niezwykle dużą liczbę wywołań interfejsu API zapisu platformy AWS na konto użytkownika w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni zdarzeń dziennika usługi AWS CloudTrail według konta użytkownika. To działanie może wskazywać, że konto zostało naruszone.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | Dzienniki usługi CLOUDTrail platformy AWS |
| TAKTYKA MITRE ATT&CK: | Dostęp początkowy |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Podejrzana liczba nieudanych prób logowania do konsoli platformy AWS przez każde konto użytkownika grupy
Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych prób logowania do konsoli platformy AWS na konto użytkownika grupy w dzienniku platformy AWS CloudTrail w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni zdarzeń dziennika usługi AWS CloudTrail według konta użytkownika grupy. To działanie może wskazywać, że konto zostało naruszone.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | Dzienniki usługi CLOUDTrail platformy AWS |
| TAKTYKA MITRE ATT&CK: | Dostęp początkowy |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Podejrzana liczba nieudanych prób logowania do konsoli platformy AWS według każdego źródłowego adresu IP
Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych zdarzeń logowania do konsoli platformy AWS na źródłowy adres IP w dzienniku awS CloudTrail w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni zdarzeń dziennika platformy AWS CloudTrail według źródłowego adresu IP. To działanie może wskazywać, że naruszono bezpieczeństwo adresu IP.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | Dzienniki usługi CLOUDTrail platformy AWS |
| TAKTYKA MITRE ATT&CK: | Dostęp początkowy |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Podejrzana liczba logowań na komputerze
Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) na komputer w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Dostęp początkowy |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Podejrzana liczba logowań na komputerze z podwyższonym poziomem uprawnień
Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) z uprawnieniami administracyjnymi na komputer w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Dostęp początkowy |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Podejrzana liczba logowań do konta użytkownika
Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) na konto użytkownika w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Dostęp początkowy |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Podejrzana liczba logowań do konta użytkownika według typów logowania
Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) na konto użytkownika według różnych typów logowania w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Dostęp początkowy |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Podejrzana liczba logowań do konta użytkownika z podwyższonym poziomem uprawnień
Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) z uprawnieniami administracyjnymi na konto użytkownika w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | dzienniki Zabezpieczenia Windows |
| TAKTYKA MITRE ATT&CK: | Dostęp początkowy |
| TECHNIKI MITRE ATT&CK: | T1078 — prawidłowe konta |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Wykryto nietypowy zewnętrzny alarm zapory
Opis: Ten algorytm identyfikuje nietypowe zewnętrzne alarmy zapory, które są sygnaturami zagrożenia wydanymi przez dostawcę zapory. Używa on działań z ostatnich 7 dni, aby obliczyć 10 najbardziej wyzwalanych podpisów i 10 hostów, które wyzwoliły najwięcej podpisów. Po wyłączeniu obu typów hałaśliwych zdarzeń wyzwala anomalię dopiero po przekroczeniu progu liczby podpisów wyzwolonych w ciągu jednego dnia.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | CommonSecurityLog (PAN) |
| TAKTYKA MITRE ATT&CK: | Odnajdowanie Sterowanie i kontrola |
| TECHNIKI MITRE ATT&CK: | Odnajdywanie: T1046 — skanowanie usługi sieciowej T1135 — Odnajdywanie udziału sieciowego Polecenia i kontrolka: T1071 — Protokół warstwy aplikacji T1095 — protokół warstwy aplikacji nienależące do aplikacji T1571 — port inny niż standardowy |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Niezwykła masowa obniżanie etykiety usługi AIP
Opis: Ten algorytm wykrywa nietypowo dużą liczbę działań etykiet na starszą dół w dziennikach usługi Azure Information Protection (AIP). Uwzględnia ona rekordy obciążenia "AIP" dla danej liczby dni i określa sekwencję działań wykonywanych na dokumentach wraz z etykietą zastosowaną do klasyfikowania nietypowej liczby działań obniżania poziomu.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | Dzienniki usługi Azure Information Protection |
| TAKTYKA MITRE ATT&CK: | Kolekcja |
| TECHNIKI MITRE ATT&CK: | T1530 — dane z obiektu magazynu w chmurze T1213 — dane z repozytoriów informacji T1005 — dane z systemu lokalnego T1039 — dane z dysku udostępnionego sieciowego T1114 — Kolekcja wiadomości e-mail |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Nietypowa komunikacja sieciowa na często używanych portach
Opis: Ten algorytm identyfikuje nietypową komunikację sieciową na powszechnie używanych portach, porównując dzienny ruch z punktem odniesienia z poprzednich 7 dni. Obejmuje to ruch na powszechnie używanych portach (22, 53, 80, 443, 8080, 8888) i porównuje dzienny ruch ze średnią i odchylenie standardowe kilku atrybutów ruchu sieciowego obliczonych w okresie bazowym. Uwzględniane atrybuty ruchu to dzienne zdarzenia całkowite, codzienny transfer danych i liczba unikatowych źródłowych adresów IP na port. Anomalia jest wyzwalana, gdy wartości dzienne są większe niż skonfigurowana liczba odchyleń standardowych powyżej średniej.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| TAKTYKA MITRE ATT&CK: | Sterowanie i kontrola Wyprowadzanie |
| TECHNIKI MITRE ATT&CK: | Polecenia i kontrolka: T1071 — Protokół warstwy aplikacji Wyprowadzanie. T1030 — limity rozmiaru transferu danych |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Anomalia nietypowego woluminu sieciowego
Opis: Ten algorytm wykrywa niezwykle dużą liczbę połączeń w dziennikach sieciowych. Używa szeregów czasowych do rozkładania danych na składniki sezonowe, trendu i reszt w celu obliczenia planu bazowego. Każde nagłe duże odchylenie od historycznego punktu odniesienia jest uznawane za nietypowe działanie.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| TAKTYKA MITRE ATT&CK: | Wyprowadzanie |
| TECHNIKI MITRE ATT&CK: | T1030 — limity rozmiaru transferu danych |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Wykryto nietypowy ruch internetowy z adresem IP w ścieżce adresu URL
Opis: Ten algorytm identyfikuje nietypowe żądania internetowe zawierające adres IP jako hosta. Algorytm wyszukuje wszystkie żądania internetowe z adresami IP w ścieżce adresu URL i porównuje je z poprzednim tygodniem danych, aby wykluczyć znany ruch łagodny. Po wyłączeniu znanego łagodnego ruchu wyzwala anomalię dopiero po przekroczeniu określonych progów ze skonfigurowanymi wartościami, takimi jak łączna liczba żądań internetowych, liczba adresów URL widocznych w tym samym docelowym adresie IP hosta i liczba unikatowych adresów IP źródłowych w zestawie adresów URL z tym samym docelowym adresem IP. Ten typ żądania może wskazywać na próbę obejścia usług reputacji adresów URL w złośliwych celach.
| Atrybut | Wartość |
|---|---|
| Typ anomalii: | Możliwość dostosowywania uczenia maszynowego |
| Źródła danych: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| TAKTYKA MITRE ATT&CK: | Sterowanie i kontrola Dostęp początkowy |
| TECHNIKI MITRE ATT&CK: | Polecenia i kontrolka: T1071 — Protokół warstwy aplikacji Dostęp początkowy: T1189 — naruszenie dysku przez |
Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry
Następne kroki
Dowiedz się więcej o anomaliach generowanych przez uczenie maszynowe w usłudze Microsoft Sentinel.
Dowiedz się, jak pracować z regułami anomalii.
Badanie zdarzeń za pomocą usługi Microsoft Sentinel.