Anomálie zjištěné modulem strojového učení Microsoft Sentinelu
Tento článek uvádí anomálie, které Microsoft Sentinel detekuje pomocí různých modelů strojového učení.
Detekce anomálií funguje tak, že analyzuje chování uživatelů v prostředí v určitém časovém období a vytváří základní hodnoty legitimní aktivity. Po vytvoření směrného plánu se jakákoli aktivita mimo normální parametry považuje za neobvyklou a proto podezřelou.
Microsoft Sentinel používá k vytvoření standardních hodnot a detekci anomálií dva různé modely.
Poznámka:
Od 26. března 2024 jsou kvůli nízké kvalitě výsledků ukončeny následující detekce anomálií:
- Doménová reputace Palo Alto anomálie
- Přihlášení do více oblastí během jednoho dne prostřednictvím palo Alto GlobalProtect
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Anomálie UEBA
Sentinel UEBA detekuje anomálie na základě dynamických směrných plánů vytvořených pro každou entitu napříč různými vstupy dat. Základní chování každé entity je nastaveno podle vlastních historických aktivit, podle jejich partnerských vztahů a podle chování organizace jako celku. Anomálie se dají aktivovat korelací různých atributů, jako je typ akce, geografické umístění, zařízení, prostředek, ISP a další.
Aby se zjistily anomálie UEBA, musíte povolit funkci UEBA.
- Odebrání neobvyklého přístupu k účtu
- Neobvyklé vytvoření účtu
- Neobvyklé odstranění účtu
- Neobvyklá manipulace s účtem
- Neobvyklé spuštění kódu (UEBA)
- Neobvyklé zničení dat
- Neobvyklá úprava obranného mechanismu
- Neobvyklé neúspěšné přihlášení
- Neobvyklé resetování hesla
- Udělená neobvyklá oprávnění
- Neobvyklé přihlášení
Odebrání neobvyklého přístupu k účtu
Popis: Útočník může přerušit dostupnost systémových a síťových prostředků blokováním přístupu k účtům používaným legitimními uživateli. Útočník může odstranit, uzamknout nebo manipulovat s účtem (například změnou přihlašovacích údajů) a odebrat přístup k němu.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly aktivit Azure |
| Taktika MITRE ATT&CK: | Dopad |
| Techniky MITRE ATT&CK: | T1531 – Odebrání přístupu k účtu |
| Aktivita: | Microsoft.Authorization/roleAssignments/delete Odhlášení ze systému |
Zpět na seznam | anomálií UEBA Zpět na začátek
Neobvyklé vytvoření účtu
Popis: Nežádoucí uživatelé mohou vytvořit účet pro zachování přístupu k cílovým systémům. Při dostatečné úrovni přístupu je možné vytvořit tyto účty k vytvoření sekundárního přístupu s přihlašovacími údaji bez nutnosti nasazení trvalých nástrojů vzdáleného přístupu do systému.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly auditu Microsoft Entra |
| Taktika MITRE ATT&CK: | Uchování |
| Techniky MITRE ATT&CK: | T1136 – Vytvoření účtu |
| Dílčí techniky MITRE ATT&CK: | Cloudový účet |
| Aktivita: | Základní adresář/ UserManagement/Přidat uživatele |
Zpět na seznam | anomálií UEBA Zpět na začátek
Neobvyklé odstranění účtu
Popis: Nežádoucí uživatelé mohou přerušit dostupnost systémových a síťových prostředků tím, že brání přístupu k účtům využívaným legitimními uživateli. Účty mohou být odstraněny, uzamčeny nebo manipulovány (např. změněné přihlašovací údaje), aby se odebral přístup k účtům.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly auditu Microsoft Entra |
| Taktika MITRE ATT&CK: | Dopad |
| Techniky MITRE ATT&CK: | T1531 – Odebrání přístupu k účtu |
| Aktivita: | Základní adresář/ UserManagement/Delete user Základní adresář, zařízení/ odstranění uživatele Základní adresář/ UserManagement/Delete user |
Zpět na seznam | anomálií UEBA Zpět na začátek
Neobvyklá manipulace s účtem
Popis: Nežádoucí osoba může manipulovat s účty za účelem zachování přístupu k cílovým systémům. Mezi tyto akce patří přidání nových účtů do skupin s vysokými oprávněními. Dragonfly 2.0 například přidal nově vytvořené účty do skupiny administrators pro zachování zvýšeného přístupu. Následující dotaz vygeneruje výstup všech uživatelů s vysokou úrovní výbuchu, kteří provádějí "aktualizaci uživatele" (změna názvu) na privilegovanou roli nebo uživatele, kteří změnili uživatele poprvé.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly auditu Microsoft Entra |
| Taktika MITRE ATT&CK: | Uchování |
| Techniky MITRE ATT&CK: | T1098 – Manipulace s účtem |
| Aktivita: | Základní adresář/ UserManagement/Aktualizace uživatele |
Zpět na seznam | anomálií UEBA Zpět na začátek
Neobvyklé spuštění kódu (UEBA)
Popis: Nežádoucí osoby mohou zneužít interprety příkazů a skriptů ke spouštění příkazů, skriptů nebo binárních souborů. Tato rozhraní a jazyky poskytují způsoby interakce s počítačovými systémy a jsou běžnou funkcí na mnoha různých platformách.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly aktivit Azure |
| Taktika MITRE ATT&CK: | Provádění |
| Techniky MITRE ATT&CK: | T1059 – interpret příkazů a skriptování |
| Dílčí techniky MITRE ATT&CK: | PowerShell |
| Aktivita: | Microsoft.Compute/virtualMachines/runCommand/action |
Zpět na seznam | anomálií UEBA Zpět na začátek
Neobvyklé zničení dat
Popis: Nežádoucí osoba může zničit data a soubory v konkrétních systémech nebo ve velkém počtu v síti, aby přerušila dostupnost systémů, služeb a síťových prostředků. Zničení dat pravděpodobně vykreslí uložená data nenapravitelnými forenzními technikami prostřednictvím přepisování souborů nebo dat na místních a vzdálených jednotkách.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly aktivit Azure |
| Taktika MITRE ATT&CK: | Dopad |
| Techniky MITRE ATT&CK: | T1485 - Zničení dat |
| Aktivita: | Microsoft.Compute/disks/delete Microsoft.Compute/gallerys/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Zpět na seznam | anomálií UEBA Zpět na začátek
Neobvyklá úprava obranného mechanismu
Popis: Nežádoucí osoba může zakázat nástroje zabezpečení, aby se zabránilo možné detekci jejich nástrojů a aktivit.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly aktivit Azure |
| Taktika MITRE ATT&CK: | Obrana před únikem |
| Techniky MITRE ATT&CK: | T1562 - Narušení obrany |
| Dílčí techniky MITRE ATT&CK: | Zakázání nebo úprava nástrojů Zakázání nebo úprava cloudové brány firewall |
| Aktivita: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Zpět na seznam | anomálií UEBA Zpět na začátek
Neobvyklé neúspěšné přihlášení
Popis: Nežádoucí osoba bez předchozích znalostí legitimních přihlašovacích údajů v systému nebo prostředí můžou uhodnout hesla pro pokus o přístup k účtům.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly přihlašování Microsoft Entra protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Přístup k přihlašovacím údajům |
| Techniky MITRE ATT&CK: | T1110 - Hrubá síla |
| Aktivita: | ID Microsoft Entra: Aktivita přihlášení Zabezpečení Windows: Neúspěšné přihlášení (ID události 4625) |
Zpět na seznam | anomálií UEBA Zpět na začátek
Neobvyklé resetování hesla
Popis: Nežádoucí uživatelé mohou přerušit dostupnost systémových a síťových prostředků tím, že brání přístupu k účtům využívaným legitimními uživateli. Účty mohou být odstraněny, uzamčeny nebo manipulovány (např. změněné přihlašovací údaje), aby se odebral přístup k účtům.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly auditu Microsoft Entra |
| Taktika MITRE ATT&CK: | Dopad |
| Techniky MITRE ATT&CK: | T1531 – Odebrání přístupu k účtu |
| Aktivita: | Základní adresář/ UserManagement/Resetování hesla uživatele |
Zpět na seznam | anomálií UEBA Zpět na začátek
Udělená neobvyklá oprávnění
Popis: Nežádoucí osoba může kromě existujících legitimních přihlašovacích údajů přidat pro instanční objekty Azure také nežádoucí přihlašovací údaje řízené nežádoucími osobami, aby se zachoval trvalý přístup k účtům Azure oběti.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly auditu Microsoft Entra |
| Taktika MITRE ATT&CK: | Uchování |
| Techniky MITRE ATT&CK: | T1098 – Manipulace s účtem |
| Dílčí techniky MITRE ATT&CK: | Další přihlašovací údaje instančního objektu Azure |
| Aktivita: | Zřizování účtů/ Správa aplikací / Přidání přiřazení role aplikace k instančnímu objektu |
Zpět na seznam | anomálií UEBA Zpět na začátek
Neobvyklé přihlášení
Popis: Nežádoucí uživatelé mohou zcizit přihlašovací údaje konkrétního účtu uživatele nebo služby pomocí technik přístupu k přihlašovacím údajům nebo zaznamenat přihlašovací údaje dříve v procesu rekognoskace prostřednictvím sociálního inženýrství, aby získali trvalost.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | UEBA |
| Zdroje dat: | Protokoly přihlašování Microsoft Entra protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Uchování |
| Techniky MITRE ATT&CK: | T1078 – platné účty |
| Aktivita: | ID Microsoft Entra: Aktivita přihlášení Zabezpečení Windows: Úspěšné přihlášení (ID události 4624) |
Zpět na seznam | anomálií UEBA Zpět na začátek
Anomálie založené na strojovém učení
Přizpůsobitelné a anomálie založené na strojovém učení od Microsoft Sentinelu můžou identifikovat neobvyklé chování pomocí šablon analytických pravidel, které se dají umístit tak, aby fungovaly hned od tohoto pole. I když anomálie nemusí nutně znamenat škodlivé nebo dokonce podezřelé chování sami, je možné je použít ke zlepšení detekce, vyšetřování a proaktivního vyhledávání hrozeb.
- Neobvyklé přihlašovací relace Microsoft Entra
- Neobvyklé operace Azure
- Neobvyklé spuštění kódu
- Neobvyklé vytvoření místního účtu
- Neobvyklá aktivita prohledávání
- Neobvyklé aktivity uživatelů v Office Exchange
- Neobvyklé aktivity uživatelů a aplikací v protokolech auditu Azure
- Neobvyklá aktivita protokolů W3CIIS
- Neobvyklá aktivita webového požadavku
- Pokus o hrubou silou počítače
- Pokus o hrubou silou uživatelského účtu
- Pokus o hrubou silou uživatelského účtu na typ přihlášení
- Pokus o hrubou silou uživatelského účtu na důvod selhání
- Detekce chování síťového signálu generovaného počítačem
- Algoritmus generování domény (DGA) v doménách DNS
- Domain Reputation Palo Alto anomálie (UKONČENO)
- Nadměrná anomálie přenosu dat
- Nadměrné stahování přes Palo Alto GlobalProtect
- Nadměrné nahrávání přes Palo Alto GlobalProtect
- Přihlášení z neobvyklé oblasti prostřednictvím přihlášení k účtu Palo Alto GlobalProtect
- Přihlášení do více oblastí během jednoho dne prostřednictvím Palo Alto GlobalProtect (UKONČENO)
- Potenciální příprava dat
- Potenciální algoritmus generování domény (DGA) na další úrovni domén DNS
- Podezřelá zeměpisná změna v přihlášeních k účtu Palo Alto GlobalProtect
- Podezřelý počet chráněných dokumentů, ke kterému se přistupuje
- Podezřelý objem volání rozhraní API AWS ze zdrojové IP adresy jiného typu než AWS
- Podezřelý objem událostí protokolu AWS CloudTrail uživatelského účtu skupiny podle EventTypeName
- Podezřelý objem volání rozhraní API pro zápis AWS z uživatelského účtu
- Podezřelý svazek neúspěšných pokusů o přihlášení ke konzole AWS podle jednotlivých uživatelských účtů skupiny
- Podezřelý svazek neúspěšných pokusů o přihlášení ke konzole AWS podle každé zdrojové IP adresy
- Podezřelý objem přihlášení k počítači
- Podezřelý objem přihlášení k počítači se zvýšenými oprávněními
- Podezřelý objem přihlášení k uživatelskému účtu
- Podezřelý objem přihlášení k uživatelskému účtu podle typů přihlášení
- Podezřelý objem přihlášení k uživatelskému účtu se zvýšenými oprávněními
- Zjistilo se neobvyklé upozornění externí brány firewall
- Neobvyklý hromadný downgrade popisek AIP
- Neobvyklá síťová komunikace na běžně používaných portech
- Neobvyklá anomálie síťového svazku
- Neobvyklý webový provoz zjištěný s IP adresou v cestě URL
Neobvyklé přihlašovací relace Microsoft Entra
Popis: Model strojového učení seskupuje protokoly přihlašování Microsoft Entra pro jednotlivé uživatele. Model se vytrénuje v předchozích 6 dnech chování přihlašování uživatelů. Označuje neobvyklé přihlašovací relace uživatelů za poslední den.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokoly přihlašování Microsoft Entra |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1078 – platné účty T1566 – Phishing T1133 – Externí vzdálené služby |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Neobvyklé operace Azure
Popis: Tento algoritmus detekce shromažďuje data o 21 dnech v operacích Azure seskupených uživatelem za účelem trénování tohoto modelu ML. Algoritmus pak vygeneruje anomálie v případě uživatelů, kteří ve svých pracovních prostorech prováděli posloupnosti operací. Vytrénovaný model ML vyhodnocuje operace prováděné uživatelem a považuje neobvyklé hodnoty, jejichž skóre je větší než definovaná prahová hodnota.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokoly aktivit Azure |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1190 – Zneužití veřejně přístupné aplikace |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Neobvyklé spuštění kódu
Popis: Útočníci mohou zneužít interprety příkazů a skriptů ke spouštění příkazů, skriptů nebo binárních souborů. Tato rozhraní a jazyky poskytují způsoby interakce s počítačovými systémy a jsou běžnou funkcí na mnoha různých platformách.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokoly aktivit Azure |
| Taktika MITRE ATT&CK: | Provádění |
| Techniky MITRE ATT&CK: | T1059 – interpret příkazů a skriptování |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Neobvyklé vytvoření místního účtu
Popis: Tento algoritmus detekuje neobvyklé vytvoření místního účtu v systémech Windows. Útočníci můžou vytvářet místní účty pro zachování přístupu k cílovým systémům. Tento algoritmus analyzuje aktivitu vytváření místních účtů za posledních 14 dnů uživateli. Vyhledá podobnou aktivitu v aktuálním dni od uživatelů, kteří nebyli dříve vidět v historické aktivitě. Můžete zadat seznam povolených pro filtrování známých uživatelů z aktivace této anomálie.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Uchování |
| Techniky MITRE ATT&CK: | T1136 – Vytvoření účtu |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Neobvyklá aktivita prohledávání
Popis: Tento algoritmus hledá aktivitu prohledávání portů, která pochází z jedné zdrojové IP adresy na jednu nebo více cílových IP adres, která se v daném prostředí obvykle nezobrazuje.
Algoritmus bere v úvahu, jestli je IP adresa veřejná, externí nebo soukromá nebo interní, a událost se odpovídajícím způsobem označí. V tuto chvíli se považuje pouze soukromá nebo veřejná-soukromá aktivita. Aktivita kontroly může naznačovat útočníka, který se pokouší určit dostupné služby v prostředí, které se můžou potenciálně zneužít a použít k příchozímu nebo laterálnímu pohybu. Velký počet zdrojových portů a vysoký počet cílových portů z jedné zdrojové IP adresy do jedné nebo více cílových IP adres může být zajímavý a značí neobvyklou kontrolu. Navíc pokud existuje vysoký poměr cílových IP adres k jedné zdrojové IP adrese, může to znamenat neobvyklou kontrolu.
Podrobnosti o konfiguraci:
- Výchozí spuštění úlohy je denní s hodinovými intervaly.
Algoritmus používá následující konfigurovatelné výchozí hodnoty k omezení výsledků na základě hodinových intervalů. - Zahrnuté akce zařízení – přijmout, povolit, spustit
- Vyloučené porty – 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
- Počet jedinečných cílových portů >= 600
- Počet jedinečných zdrojových portů >= 600
- Počet jedinečných zdrojových portů vydělený jedinečným cílovým portem, poměr převedený na procento >= 99,99
- Zdrojová IP adresa (vždy 1) dělená cílovou IP adresou, poměr převedený na procento >= 99,99
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Taktika MITRE ATT&CK: | Zjišťování |
| Techniky MITRE ATT&CK: | T1046 – Prohledávání síťových služeb |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Neobvyklé aktivity uživatelů v Office Exchange
Popis: Tento model strojového učení seskupuje protokoly Office Exchange na základě jednotlivých uživatelů do hodinových intervalů. Definujeme jednu hodinu jako relaci. Model se vytrénuje v předchozích 7 dnech chování všech běžných (nesprávních) uživatelů. Označuje neobvyklé uživatelské relace Office Exchange za poslední den.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokol aktivit Office (Exchange) |
| Taktika MITRE ATT&CK: | Uchování Kolekce |
| Techniky MITRE ATT&CK: | Sbírka: T1114 – Kolekce e-mailů T1213 – data z úložišť informací Perzistence: T1098 – Manipulace s účtem T1136 – Vytvoření účtu T1137 – Spuštění aplikace Office T1505 – Serverová softwarová komponenta |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Neobvyklé aktivity uživatelů a aplikací v protokolech auditu Azure
Popis: Tento algoritmus identifikuje neobvyklé relace Azure uživatelů a aplikací v protokolech auditu za poslední den na základě chování předchozích 21 dnů ve všech uživatelích a aplikacích. Algoritmus před trénováním modelu zkontroluje dostatečný objem dat.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokoly auditu Microsoft Entra |
| Taktika MITRE ATT&CK: | Kolekce Zjišťování Počáteční přístup Uchování Elevace oprávnění |
| Techniky MITRE ATT&CK: | Sbírka: T1530 – data z objektu cloudového úložiště Zjišťování: T1087 – Zjišťování účtů T1538 – Řídicí panel cloudové služby T1526 – Cloud Service Discovery T1069 – Zjišťování skupin oprávnění T1518 – Zjišťování softwaru Počáteční přístup: T1190 – Zneužití veřejně přístupné aplikace T1078 – platné účty Perzistence: T1098 – Manipulace s účtem T1136 – Vytvoření účtu T1078 – platné účty Elevace oprávnění: T1484 – Úprava zásad domény T1078 – platné účty |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Neobvyklá aktivita protokolů W3CIIS
Popis: Tento algoritmus strojového učení označuje neobvyklé relace služby IIS za poslední den. Zachytí například neobvykle vysoký počet jedinečných dotazů URI, uživatelských agentů nebo protokolů v relaci nebo konkrétních příkazů HTTP nebo stavů HTTP v relaci. Algoritmus identifikuje neobvyklé události W3CIISLog během hodinové relace seskupené podle názvu lokality a IP adresy klienta. Model se vytrénuje v předchozích 7 dnech aktivity služby IIS. Algoritmus před trénováním modelu zkontroluje dostatečný objem aktivity služby IIS.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokoly W3CIIS |
| Taktika MITRE ATT&CK: | Počáteční přístup Uchování |
| Techniky MITRE ATT&CK: | Počáteční přístup: T1190 – Zneužití veřejně přístupné aplikace Perzistence: T1505 – Serverová softwarová komponenta |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Neobvyklá aktivita webového požadavku
Popis: Tento algoritmus seskupuje události W3CIISLog do hodinových relací seskupených podle názvu webu a identifikátoru URI. Model strojového učení identifikuje relace s neobvykle velkým počtem požadavků, které aktivovaly kódy odpovědí třídy 5xx za poslední den. Kódy třídy 5xx značí, že požadavek aktivoval určitou nestabilitu aplikace nebo chybovou podmínku. Můžou to značit, že útočník provádí sondu identifikátoru URI kvůli chybám zabezpečení a problémům s konfigurací, provádí nějakou aktivitu zneužití, jako je injektáž SQL, nebo využívá nepatchovanou chybu zabezpečení. Tento algoritmus pro trénování používá 6 dnů dat.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokoly W3CIIS |
| Taktika MITRE ATT&CK: | Počáteční přístup Uchování |
| Techniky MITRE ATT&CK: | Počáteční přístup: T1190 – Zneužití veřejně přístupné aplikace Perzistence: T1505 – Serverová softwarová komponenta |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Pokus o hrubou silou počítače
Popis: Tento algoritmus zjistí neobvykle velký objem neúspěšných pokusů o přihlášení (ID události zabezpečení 4625) na počítač za poslední den. Model se vytrénuje v předchozích 21 dnech protokolů událostí zabezpečení Windows.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Přístup k přihlašovacím údajům |
| Techniky MITRE ATT&CK: | T1110 - Hrubá síla |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Pokus o hrubou silou uživatelského účtu
Popis: Tento algoritmus zjistí neobvykle velký objem neúspěšných pokusů o přihlášení (ID události zabezpečení 4625) na uživatelský účet za poslední den. Model se vytrénuje v předchozích 21 dnech protokolů událostí zabezpečení Windows.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Přístup k přihlašovacím údajům |
| Techniky MITRE ATT&CK: | T1110 - Hrubá síla |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Pokus o hrubou silou uživatelského účtu na typ přihlášení
Popis: Tento algoritmus zjistí neobvykle velký objem neúspěšných pokusů o přihlášení (ID události zabezpečení 4625) na uživatelský účet na typ přihlášení za poslední den. Model se vytrénuje v předchozích 21 dnech protokolů událostí zabezpečení Windows.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Přístup k přihlašovacím údajům |
| Techniky MITRE ATT&CK: | T1110 - Hrubá síla |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Pokus o hrubou silou uživatelského účtu na důvod selhání
Popis: Tento algoritmus zjistí neobvykle velký objem neúspěšných pokusů o přihlášení (ID události zabezpečení 4625) na uživatelský účet za důvod selhání za poslední den. Model se vytrénuje v předchozích 21 dnech protokolů událostí zabezpečení Windows.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Přístup k přihlašovacím údajům |
| Techniky MITRE ATT&CK: | T1110 - Hrubá síla |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Detekce chování síťového signálu generovaného počítačem
Popis: Tento algoritmus identifikuje vzory signálu z protokolů připojení síťového provozu na základě opakujících se časových rozdílových vzorů. Jakékoli síťové připojení k nedůvěryhodným veřejným sítím v opakujících se časech je indikací zpětného volání malwaru nebo pokusů o exfiltraci dat. Algoritmus vypočítá časový rozdíl mezi po sobě jdoucími síťovými připojeními mezi stejnou zdrojovou IP adresou a cílovou IP adresou a počtem připojení v časové rozdílové sekvenci mezi stejnými zdroji a cíli. Procento signálu se vypočítá jako spojení v časovém rozdílovém sekvenci s celkovým počtem připojení za den.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | CommonSecurityLog (PAN) |
| Taktika MITRE ATT&CK: | Příkazy a ovládání |
| Techniky MITRE ATT&CK: | T1071 – Protokol aplikační vrstvy T1132 – kódování dat T1001 – Obfuskace dat T1568 – dynamické rozlišení T1573 – šifrovaný kanál T1008 – náhradní kanály T1104 – kanály s více fázemi T1095 – protokol jiné vrstvy než aplikace T1571 – Nestandardní port T1572 – Tunelování protokolu T1090 – Proxy T1205 - Dopravní signalizace T1102 – webová služba |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Algoritmus generování domény (DGA) v doménách DNS
Popis: Tento model strojového učení označuje potenciální domény DGA z posledního dne v protokolech DNS. Algoritmus se vztahuje na záznamy DNS, které se přeloží na adresy IPv4 a IPv6.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Události DNS |
| Taktika MITRE ATT&CK: | Příkazy a ovládání |
| Techniky MITRE ATT&CK: | T1568 – dynamické rozlišení |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Domain Reputation Palo Alto anomálie (UKONČENO)
Popis: Tento algoritmus vyhodnocuje reputaci všech domén, které jsou vidět konkrétně v protokolech brány firewall Palo Alto (produkt PAN-OS). Vysoké skóre anomálií označuje nízkou reputaci, což naznačuje, že doména byla pozorována k hostování škodlivého obsahu nebo je to pravděpodobné.
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Nadměrná anomálie přenosu dat
Popis: Tento algoritmus detekuje neobvykle vysoký přenos dat zjištěný v síťových protokolech. Používá časovou řadu k rozdělení dat do sezónních, trendových a zbytkových součástí k výpočtu směrného plánu. Jakákoli náhlá velká odchylka od historického směrného plánu se považuje za neobvyklou aktivitu.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Taktika MITRE ATT&CK: | Exfiltrace |
| Techniky MITRE ATT&CK: | T1030 – Omezení velikosti přenosu dat T1041 – exfiltrace přes kanál C2 T1011 – exfiltrace přes jiné síťové médium T1567 – exfiltrace přes webovou službu T1029 – naplánovaný přenos T1537 – Přenos dat do cloudového účtu |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Nadměrné stahování přes Palo Alto GlobalProtect
Popis: Tento algoritmus detekuje neobvykle velký objem stahování na uživatelský účet prostřednictvím řešení Palo Alto VPN. Model se vytrénuje v předchozích 14 dnech protokolů VPN. Označuje neobvyklý velký objem stahování za poslední den.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | CommonSecurityLog (PAN VPN) |
| Taktika MITRE ATT&CK: | Exfiltrace |
| Techniky MITRE ATT&CK: | T1030 – Omezení velikosti přenosu dat T1041 – exfiltrace přes kanál C2 T1011 – exfiltrace přes jiné síťové médium T1567 – exfiltrace přes webovou službu T1029 – naplánovaný přenos T1537 – Přenos dat do cloudového účtu |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Nadměrné nahrávání přes Palo Alto GlobalProtect
Popis: Tento algoritmus detekuje neobvykle velký objem nahrávání na uživatelský účet prostřednictvím řešení Palo Alto VPN. Model se vytrénuje v předchozích 14 dnech protokolů VPN. Označuje neobvyklý velký objem nahrávání za poslední den.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | CommonSecurityLog (PAN VPN) |
| Taktika MITRE ATT&CK: | Exfiltrace |
| Techniky MITRE ATT&CK: | T1030 – Omezení velikosti přenosu dat T1041 – exfiltrace přes kanál C2 T1011 – exfiltrace přes jiné síťové médium T1567 – exfiltrace přes webovou službu T1029 – naplánovaný přenos T1537 – Přenos dat do cloudového účtu |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Přihlášení z neobvyklé oblasti prostřednictvím přihlášení k účtu Palo Alto GlobalProtect
Popis: Když se účet Palo Alto GlobalProtect přihlásí ze zdrojové oblasti, která se během posledních 14 dnů zřídka přihlásila, aktivuje se anomálie. Tato anomálie může znamenat, že došlo k ohrožení zabezpečení účtu.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | CommonSecurityLog (PAN VPN) |
| Taktika MITRE ATT&CK: | Přístup k přihlašovacím údajům Počáteční přístup Laterální pohyb |
| Techniky MITRE ATT&CK: | T1133 – Externí vzdálené služby |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Přihlášení do více oblastí během jednoho dne prostřednictvím Palo Alto GlobalProtect (UKONČENO)
Popis: Tento algoritmus zjistí uživatelský účet, který měl přihlášení z několika nesouvislých oblastí v jednom dni prostřednictvím palo Alto VPN.
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Potenciální příprava dat
Popis: Tento algoritmus porovnává stahování jedinečných souborů na základě jednotlivých uživatelů z předchozího týdne se soubory ke stažení pro aktuální den každého uživatele a anomálie se aktivuje, když počet stahování jedinečných souborů překračuje nakonfigurovaný počet směrodatných odchylek nad střední hodnotou. V současné době algoritmus analyzuje pouze soubory běžně používané při exfiltraci dokumentů, obrázků, videí a archivů s rozšířeními doc, docx, xls, xlsxpptxpptxlsm, , one, .movpdfziprarbmpjpgmp3mp4
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokol aktivit Office (Exchange) |
| Taktika MITRE ATT&CK: | Kolekce |
| Techniky MITRE ATT&CK: | T1074 – fázovaná data |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Potenciální algoritmus generování domény (DGA) na další úrovni domén DNS
Popis: Tento model strojového učení označuje domény další úrovně (třetí a vyšší) názvů domén z posledního dne protokolů DNS, které jsou neobvyklé. Můžou to být výstup algoritmu generování domény (DGA). Anomálie se vztahuje na záznamy DNS, které se přeloží na adresy IPv4 a IPv6.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Události DNS |
| Taktika MITRE ATT&CK: | Příkazy a ovládání |
| Techniky MITRE ATT&CK: | T1568 – dynamické rozlišení |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Podezřelá zeměpisná změna v přihlášeních k účtu Palo Alto GlobalProtect
Popis: Shoda značí, že se uživatel přihlásil vzdáleně ze země nebo oblasti, která se liší od země/oblasti posledního vzdáleného přihlášení uživatele. Toto pravidlo může také znamenat ohrožení zabezpečení účtu, zejména pokud se pravidlo shoduje přesně v čase. To zahrnuje scénář nemožné cesty.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | CommonSecurityLog (PAN VPN) |
| Taktika MITRE ATT&CK: | Počáteční přístup Přístup k přihlašovacím údajům |
| Techniky MITRE ATT&CK: | T1133 – Externí vzdálené služby T1078 – platné účty |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Podezřelý počet chráněných dokumentů, ke kterému se přistupuje
Popis: Tento algoritmus detekuje velký objem přístupu k chráněným dokumentům v protokolech Azure Information Protection (AIP). Bere v úvahu záznamy úloh AIP za daný počet dnů a určuje, jestli uživatel provedl neobvyklý přístup k chráněným dokumentům za den vzhledem k historickému chování.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokoly služby Azure Information Protection |
| Taktika MITRE ATT&CK: | Kolekce |
| Techniky MITRE ATT&CK: | T1530 – data z objektu cloudového úložiště T1213 – data z úložišť informací T1005 – data z místního systému T1039 – data ze sdílené síťové jednotky T1114 – Kolekce e-mailů |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Podezřelý objem volání rozhraní API AWS ze zdrojové IP adresy jiného typu než AWS
Popis: Tento algoritmus detekuje neobvykle velký objem volání rozhraní API AWS na uživatelský účet na pracovní prostor ze zdrojových IP adres mimo rozsahy zdrojových IP adres AWS během posledního dne. Model se vytrénuje na předchozích 21 dnech událostí protokolu AWS CloudTrail podle zdrojové IP adresy. Tato aktivita může znamenat, že uživatelský účet je ohrožený.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokoly AWS CloudTrail |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1078 – platné účty |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Podezřelý objem událostí protokolu AWS CloudTrail uživatelského účtu skupiny podle EventTypeName
Popis: Tento algoritmus zjistí neobvykle velký objem událostí na uživatelský účet skupiny podle různých typů událostí (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction) v protokolu AWS CloudTrail během posledního dne. Model se vytrénuje v předchozích 21 dnech událostí protokolu AWS CloudTrail podle uživatelského účtu skupiny. Tato aktivita může znamenat, že je účet ohrožený.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokoly AWS CloudTrail |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1078 – platné účty |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Podezřelý objem volání rozhraní API pro zápis AWS z uživatelského účtu
Popis: Tento algoritmus detekuje neobvykle velký objem volání rozhraní API pro zápis AWS na uživatelský účet během posledního dne. Model se vytrénuje v předchozích 21 dnech událostí protokolu AWS CloudTrail podle uživatelského účtu. Tato aktivita může znamenat, že je účet ohrožený.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokoly AWS CloudTrail |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1078 – platné účty |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Podezřelý svazek neúspěšných pokusů o přihlášení ke konzole AWS podle jednotlivých uživatelských účtů skupiny
Popis: Tento algoritmus zjistí neobvykle velký objem neúspěšných pokusů o přihlášení ke konzole AWS na uživatelský účet skupiny v protokolu AWS CloudTrail během posledního dne. Model se vytrénuje v předchozích 21 dnech událostí protokolu AWS CloudTrail podle uživatelského účtu skupiny. Tato aktivita může znamenat, že je účet ohrožený.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokoly AWS CloudTrail |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1078 – platné účty |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Podezřelý svazek neúspěšných pokusů o přihlášení ke konzole AWS podle každé zdrojové IP adresy
Popis: Tento algoritmus detekuje neobvykle velký objem neúspěšných událostí přihlášení ke konzole AWS na zdrojovou IP adresu v protokolu AWS CloudTrail během posledního dne. Model se vytrénuje na předchozích 21 dnech událostí protokolu AWS CloudTrail podle zdrojové IP adresy. Tato aktivita může značit ohrožení IP adresy.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokoly AWS CloudTrail |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1078 – platné účty |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Podezřelý objem přihlášení k počítači
Popis: Tento algoritmus zjistí neobvykle velký objem úspěšných přihlášení (ID události zabezpečení 4624) na počítač za poslední den. Model se vytrénuje v předchozích 21 dnech Zabezpečení Windows protokoly událostí.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1078 – platné účty |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Podezřelý objem přihlášení k počítači se zvýšenými oprávněními
Popis: Tento algoritmus zjistí neobvykle velký objem úspěšných přihlášení (ID události zabezpečení 4624) s oprávněními správce na počítač za poslední den. Model se vytrénuje v předchozích 21 dnech Zabezpečení Windows protokoly událostí.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1078 – platné účty |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Podezřelý objem přihlášení k uživatelskému účtu
Popis: Tento algoritmus zjistí neobvykle velký objem úspěšných přihlášení (ID události zabezpečení 4624) na uživatelský účet za poslední den. Model se vytrénuje v předchozích 21 dnech Zabezpečení Windows protokoly událostí.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1078 – platné účty |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Podezřelý objem přihlášení k uživatelskému účtu podle typů přihlášení
Popis: Tento algoritmus zjistí neobvykle velký objem úspěšných přihlášení (ID události zabezpečení 4624) na uživatelský účet podle různých typů přihlášení za poslední den. Model se vytrénuje v předchozích 21 dnech Zabezpečení Windows protokoly událostí.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1078 – platné účty |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Podezřelý objem přihlášení k uživatelskému účtu se zvýšenými oprávněními
Popis: Tento algoritmus zjistí neobvykle velký objem úspěšných přihlášení (ID události zabezpečení 4624) s oprávněními správce na uživatelský účet za poslední den. Model se vytrénuje v předchozích 21 dnech Zabezpečení Windows protokoly událostí.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | protokoly Zabezpečení Windows |
| Taktika MITRE ATT&CK: | Počáteční přístup |
| Techniky MITRE ATT&CK: | T1078 – platné účty |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Zjistilo se neobvyklé upozornění externí brány firewall
Popis: Tento algoritmus identifikuje neobvyklé externí alarmy brány firewall, což jsou podpisy hrozeb vydané dodavatelem brány firewall. Používá aktivity za posledních 7 dnů k výpočtu 10 nejčastěji aktivovaných podpisů a 10 hostitelů, kteří aktivovali nejvíce podpisů. Po vyloučení obou typů hlučných událostí aktivuje anomálie až po překročení prahové hodnoty počtu podpisů aktivovaných v jednom dni.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | CommonSecurityLog (PAN) |
| Taktika MITRE ATT&CK: | Zjišťování Příkazy a ovládání |
| Techniky MITRE ATT&CK: | Zjišťování: T1046 – Prohledávání síťových služeb T1135 – Zjišťování síťových sdílených složek Příkaz a ovládací prvek: T1071 – Protokol aplikační vrstvy T1095 – protokol jiné vrstvy než aplikace T1571 – Nestandardní port |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Neobvyklý hromadný downgrade popisek AIP
Popis: Tento algoritmus v protokolech Azure Information Protection (AIP) detekuje neobvykle velký objem aktivity popisku downgradu. Bere v úvahu záznamy úloh "AIP" pro daný počet dní a určuje posloupnost aktivit prováděných s dokumenty spolu s popiskem použitým ke klasifikaci neobvyklého objemu aktivity downgradu.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | Protokoly služby Azure Information Protection |
| Taktika MITRE ATT&CK: | Kolekce |
| Techniky MITRE ATT&CK: | T1530 – data z objektu cloudového úložiště T1213 – data z úložišť informací T1005 – data z místního systému T1039 – data ze sdílené síťové jednotky T1114 – Kolekce e-mailů |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Neobvyklá síťová komunikace na běžně používaných portech
Popis: Tento algoritmus identifikuje neobvyklou síťovou komunikaci na běžně používanýchportch To zahrnuje provoz na běžně používaných portech (22, 53, 80, 443, 8080, 8888) a porovnává denní provoz se střední a směrodatnou odchylkou několika atributů síťového provozu vypočítaných v základním období. Atributy provozu se považují za denní celkový počet událostí, denní přenos dat a počet jedinečných zdrojových IP adres na port. Anomálie se aktivuje, když jsou denní hodnoty větší než nakonfigurovaný počet směrodatných odchylek nad střední hodnotou.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| Taktika MITRE ATT&CK: | Příkazy a ovládání Exfiltrace |
| Techniky MITRE ATT&CK: | Příkaz a ovládací prvek: T1071 – Protokol aplikační vrstvy Exfiltrace: T1030 – Omezení velikosti přenosu dat |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Neobvyklá anomálie síťového svazku
Popis: Tento algoritmus detekuje neobvykle velký objem připojení v síťových protokolech. Používá časovou řadu k rozdělení dat do sezónních, trendových a zbytkových součástí k výpočtu směrného plánu. Jakákoli náhlá velká odchylka od historického směrného plánu se považuje za neobvyklou aktivitu.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Taktika MITRE ATT&CK: | Exfiltrace |
| Techniky MITRE ATT&CK: | T1030 – Omezení velikosti přenosu dat |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Neobvyklý webový provoz zjištěný s IP adresou v cestě URL
Popis: Tento algoritmus identifikuje neobvyklé webové požadavky uvádějící IP adresu jako hostitele. Algoritmus najde všechny webové požadavky s IP adresami v cestě URL a porovná je s předchozím týdnem dat, aby se vyloučil známý neškodný provoz. Po vyloučení známého neškodného provozu aktivuje anomálie až po překročení určitých prahových hodnot s nakonfigurovanými hodnotami, jako jsou celkové webové požadavky, počet adres URL, které jsou zobrazeny se stejnou cílovou IP adresou hostitele a počet jedinečných zdrojových IP adres v sadě adres URL se stejnou cílovou IP adresou. Tento typ požadavku může znamenat pokus o obejití služeb reputace adresy URL pro škodlivé účely.
| Atribut | Hodnota |
|---|---|
| Typ anomálií: | Přizpůsobitelné strojové učení |
| Zdroje dat: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| Taktika MITRE ATT&CK: | Příkazy a ovládání Počáteční přístup |
| Techniky MITRE ATT&CK: | Příkaz a ovládací prvek: T1071 – Protokol aplikační vrstvy Počáteční přístup: T1189 – Kompromis mezi jednotkami |
Zpět na seznam | anomálií založených na strojovém učení zpět na začátek
Další kroky
Přečtěte si o anomáliích generovaných strojovým učením v Microsoft Sentinelu.
Naučte se pracovat s pravidly anomálií.
Prošetřujte incidenty pomocí Služby Microsoft Sentinel.