Anomalías detectadas por el motor de aprendizaje automático de Microsoft Sentinel
En este artículo se enumeran las anomalías que Microsoft Sentinel detecta mediante diferentes modelos de aprendizaje automático.
La detección de anomalías funciona mediante el análisis del comportamiento de los usuarios en un entorno durante un período de tiempo y la construcción de una línea base de actividad legítima. Una vez establecida la línea base, cualquier actividad fuera de los parámetros normales se considera anómala y, por tanto, sospechosa.
Microsoft Sentinel usa dos modelos diferentes para crear líneas base y detectar anomalías.
Nota:
Las siguientes detecciones de anomalías están interrumpidas desde el 26 de marzo de 2024 debido a una baja calidad de los resultados:
- Anomalía de Palo Alto de reputación de dominio
- Inicios de sesión en varias regiones en un solo día a través de Palo Alto GlobalProtect
Importante
Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificadas de Microsoft en el portal de Microsoft Defender. Para obtener una versión preliminar, Microsoft Sentinel está disponible en el portal de Defender sin XDR de Microsoft Defender ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Anomalías de UEBA
Sentinel UEBA detecta anomalías basadas en líneas base dinámicas creadas para cada entidad en distintas entradas de datos. El comportamiento de la línea de base de cada entidad se establece según sus propias actividades históricas, las de sus nodos del mismo nivel y las de la organización en su conjunto. Las anomalías se pueden desencadenar mediante la correlación de diferentes atributos, como el tipo de acción, la ubicación geográfica, el dispositivo, el recurso, el ISP, etc.
Debe habilitar la característica UEBA para que se detecten anomalías de UEBA.
- Eliminación anómala de acceso a la cuenta
- Creación de cuentas anómalas
- Eliminación anómala de la cuenta
- Manipulación anómala de cuentas
- Ejecución anómala de código (UEBA)
- Destrucción anómala de datos
- Modificación anómala del mecanismo defensivo
- Inicio de sesión anómalo con errores
- Restablecimiento anómalo de contraseña
- Privilegio anómalo concedido
- Inicios de sesión anómalos
Eliminación anómala de acceso a la cuenta
Descripción: un atacante puede interrumpir la disponibilidad de los recursos de red y del sistema bloqueando el acceso a las cuentas usadas por los usuarios legítimos. El atacante puede eliminar, bloquear o manipular una cuenta (por ejemplo, cambiando sus credenciales) para quitar el acceso a ella.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros de actividad de Azure |
| Tácticas de MITRE ATT&CK: | Impacto |
| Técnicas de MITRE ATT&CK: | T1531: eliminación de acceso a la cuenta |
| Actividad: | Microsoft.Authorization/roleAssignments/delete Cerrar sesión |
Volver a la lista | de anomalías de UEBA Volver a la parte superior
Creación de cuentas anómalas
Descripción: Los adversarios pueden crear una cuenta para mantener el acceso a los sistemas de destino. Con un nivel de acceso suficiente, la creación de estas cuentas se puede usar para establecer el acceso con credenciales secundarias sin necesidad de implementar herramientas de acceso remoto persistentes en el sistema.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros de auditoría de Microsoft Entra |
| Tácticas de MITRE ATT&CK: | Persistencia |
| Técnicas de MITRE ATT&CK: | T1136- Crear cuenta |
| Sub-técnicas DE MITRE ATT&CK: | Cuenta en la nube |
| Actividad: | Directorio principal/UserManagement/Agregar usuario |
Volver a la lista | de anomalías de UEBA Volver a la parte superior
Eliminación anómala de la cuenta
Descripción: los adversarios pueden interrumpir la disponibilidad de los recursos de red y del sistema al impedir el acceso a las cuentas utilizadas por los usuarios legítimos. Las cuentas se pueden eliminar, bloquear o manipular (por ejemplo, credenciales modificadas) para quitar el acceso a las cuentas.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros de auditoría de Microsoft Entra |
| Tácticas de MITRE ATT&CK: | Impacto |
| Técnicas de MITRE ATT&CK: | T1531: eliminación de acceso a la cuenta |
| Actividad: | Directorio principal/UserManagement/Agregar usuario Directorio principal, dispositivo o eliminación de usuario Directorio principal/UserManagement/Agregar usuario |
Volver a la lista | de anomalías de UEBA Volver a la parte superior
Manipulación anómala de cuentas
Descripción: Los adversarios pueden manipular cuentas para mantener el acceso a los sistemas de destino. Estas acciones incluyen agregar nuevas cuentas a grupos con privilegios elevados. Dragonfly 2.0, por ejemplo, se agregaron cuentas recién creadas al grupo de administradores para mantener el acceso elevado. La consulta siguiente genera una salida de todos los usuarios de High-Blast Radius que realizan "Actualizar usuario" (cambio de nombre) al rol con privilegios o a los que cambiaron los usuarios por primera vez.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros de auditoría de Microsoft Entra |
| Tácticas de MITRE ATT&CK: | Persistencia |
| Técnicas de MITRE ATT&CK: | T1098: manipulación de cuentas |
| Actividad: | Directorio principal/UserManagement/Agregar usuario |
Volver a la lista | de anomalías de UEBA Volver a la parte superior
Ejecución anómala de código (UEBA)
Descripción: los adversarios pueden abusar de los intérpretes de comandos y scripts para ejecutar comandos, scripts o archivos binarios. Estas interfaces y lenguajes proporcionan formas de interactuar con sistemas informáticos y son una característica común en muchas plataformas diferentes.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros de actividad de Azure |
| Tácticas de MITRE ATT&CK: | Ejecución |
| Técnicas de MITRE ATT&CK: | T1059: intérprete de comandos y scripting |
| Sub-técnicas DE MITRE ATT&CK: | PowerShell |
| Actividad: | Microsoft.Compute/virtualMachines/runCommand/action |
Volver a la lista | de anomalías de UEBA Volver a la parte superior
Destrucción anómala de datos
Descripción: los adversarios pueden destruir datos y archivos en sistemas específicos o en grandes cantidades en una red para interrumpir la disponibilidad de los sistemas, los servicios y los recursos de red. Es probable que la destrucción de datos represente los datos almacenados irrecuperables por técnicas forenses mediante la sobrescritura de archivos o datos en unidades locales y remotas.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros de actividad de Azure |
| Tácticas de MITRE ATT&CK: | Impacto |
| Técnicas de MITRE ATT&CK: | T1485: destrucción de datos |
| Actividad: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Volver a la lista | de anomalías de UEBA Volver a la parte superior
Modificación anómala del mecanismo defensivo
Descripción: los adversarios pueden deshabilitar las herramientas de seguridad para evitar la posible detección de sus herramientas y actividades.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros de actividad de Azure |
| Tácticas de MITRE ATT&CK: | Evasión defensiva |
| Técnicas de MITRE ATT&CK: | T1562: afectar a las defensas |
| Sub-técnicas DE MITRE ATT&CK: | Deshabilitar o modificar herramientas Deshabilitación o modificación del firewall en la nube |
| Actividad: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Volver a la lista | de anomalías de UEBA Volver a la parte superior
Inicio de sesión anómalo con errores
Descripción: los adversarios sin conocimiento previo de credenciales legítimas dentro del sistema o el entorno pueden adivinar las contraseñas para intentar acceder a las cuentas.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros de inicio de sesión de Microsoft Entra Registros de seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso con credenciales |
| Técnicas de MITRE ATT&CK: | T1110 - Fuerza bruta |
| Actividad: | Microsoft Entra ID: actividad de inicio de sesión Seguridad de Windows: Error de inicio de sesión (id. de evento 4625) |
Volver a la lista | de anomalías de UEBA Volver a la parte superior
Restablecimiento anómalo de contraseña
Descripción: los adversarios pueden interrumpir la disponibilidad de los recursos de red y del sistema al impedir el acceso a las cuentas utilizadas por los usuarios legítimos. Las cuentas se pueden eliminar, bloquear o manipular (por ejemplo, credenciales modificadas) para quitar el acceso a las cuentas.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros de auditoría de Microsoft Entra |
| Tácticas de MITRE ATT&CK: | Impacto |
| Técnicas de MITRE ATT&CK: | T1531: eliminación de acceso a la cuenta |
| Actividad: | Directorio principal,UserManagement/Restablecimiento de contraseña de usuario |
Volver a la lista | de anomalías de UEBA Volver a la parte superior
Privilegio anómalo concedido
Descripción: Los adversarios pueden agregar credenciales controladas por adversarios para entidades de servicio de Azure, además de credenciales legítimas existentes para mantener el acceso persistente a las cuentas de Azure víctimas.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros de auditoría de Microsoft Entra |
| Tácticas de MITRE ATT&CK: | Persistencia |
| Técnicas de MITRE ATT&CK: | T1098: manipulación de cuentas |
| Sub-técnicas DE MITRE ATT&CK: | Credenciales principales del servicio Azure adicionales |
| Actividad: | Aprovisionamiento de cuentas/Administración de aplicaciones/Agregar asignación de roles de aplicación a la entidad de servicio |
Volver a la lista | de anomalías de UEBA Volver a la parte superior
Inicios de sesión anómalos
Descripción: los adversarios pueden robar las credenciales de una cuenta de usuario o de servicio concreta mediante técnicas de acceso a credenciales, o bien capturar las credenciales anteriormente en su proceso de reconocimiento mediante la ingeniería social para obtener la persistencia.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros de inicio de sesión de Microsoft Entra Registros de seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Persistencia |
| Técnicas de MITRE ATT&CK: | T1078: cuentas válidas |
| Actividad: | Microsoft Entra ID: actividad de inicio de sesión Seguridad de Windows: inicio de sesión correcto (id. de evento 4624) |
Volver a la lista | de anomalías de UEBA Volver a la parte superior
Anomalías basadas en aprendizaje automático
Las anomalías personalizables basadas en aprendizaje automático de Microsoft Sentinel pueden identificar comportamientos anómalos con plantillas de reglas de análisis que se pueden poner a funcionar de forma automática. Aunque las anomalías no indican necesariamente un comportamiento malintencionado o incluso sospechoso por sí mismas, se pueden usar para mejorar las detecciones, las investigaciones y la búsqueda de amenazas.
- Sesiones de inicio de sesión anómalas de Microsoft Entra
- Operaciones anómalas de Azure
- Ejecución anómala de código
- Creación de cuentas locales anómalas
- Actividad anómala de análisis
- Actividades anómalas de usuario en Office Exchange
- Actividades anómalas de usuario o aplicación en los registros de auditoría de Azure
- Actividad anómala de registros W3CIIS
- Actividad anómala de solicitud web
- Intento de fuerza bruta de equipo
- Intento de fuerza bruta de la cuenta de usuario
- Intento de fuerza bruta de cuenta de usuario por tipo de inicio de sesión
- Intento de fuerza bruta de la cuenta de usuario por motivo del error
- Detección del comportamiento de señalización de red generado por la máquina
- Algoritmo de generación de dominio (DGA) en dominios DNS
- Anomalía de Palo Alto de reputación de dominio (DISCONTINUED)
- Anomalías excesivas de transferencia de datos
- Descargas excesivas a través de Palo Alto GlobalProtect
- Descargas excesivas a través de Palo Alto GlobalProtect
- Inicio de sesión desde una región inusual a través de inicios de sesión de cuenta de Palo Alto GlobalProtect
- Inicios de sesión en varias regiones en un solo día a través de Palo Alto GlobalProtect (DISCONTINUED)
- Almacenamiento provisional de datos potencial
- Posible algoritmo de generación de dominios (DGA) en dominios DNS de siguiente nivel
- Cambio de geografía sospechoso en los inicios de sesión de la cuenta de Palo Alto GlobalProtect
- Número sospechoso de documentos protegidos a los que se ha accedido
- Volumen sospechoso de llamadas API de AWS desde la dirección IP de origen que no es de AWS
- Volumen sospechoso de eventos de registro de AWS CloudTrail de la cuenta de usuario de grupo por EventTypeName
- Volumen sospechoso de llamadas API de escritura de AWS desde una cuenta de usuario
- Volumen sospechoso de intentos de inicio de sesión erróneos en la consola de AWS por cada cuenta de usuario de grupo
- Volumen sospechoso de intentos de inicio de sesión erróneos en la consola de AWS por cada dirección IP de origen
- Volumen sospechoso de inicios de sesión en el equipo
- Volumen sospechoso de inicios de sesión en el equipo con un token con privilegios elevados
- Volumen sospechoso de inicios de sesión en la cuenta de usuario
- Volumen sospechoso de inicios de sesión en la cuenta de usuario por tipos de inicio de sesión
- Volumen sospechoso de inicios de sesión en una cuenta de usuario con un token con privilegios elevados
- Se detectó una alarma de firewall externa inusual
- Etiqueta AIP de degradación masiva inusual
- Comunicación de red inusual en puertos de uso frecuente
- Anomalías de volumen de red inusuales
- Tráfico web inusual detectado con ip en la ruta de acceso de dirección URL
Sesiones de inicio de sesión anómalas de Microsoft Entra
Descripción: el modelo de Machine Learning agrupa los registros de inicio de sesión de Microsoft Entra por usuario. El modelo se entrena en los 6 días anteriores del comportamiento de inicio de sesión del usuario. Indica sesiones anómalas de inicio de sesión de usuario durante el último día.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de inicio de sesión de Microsoft Entra |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas de MITRE ATT&CK: | T1078: cuentas válidas T1566: suplantación de identidad T1133- Servicios remotos externos |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Operaciones anómalas de Azure
Descripción: este algoritmo de detección recopila datos de 21 días en las operaciones de Azure agrupadas por el usuario para entrenar este modelo de ML. A continuación, el algoritmo genera anomalías en el caso de los usuarios que realizaron secuencias de operaciones poco frecuentes en sus áreas de trabajo. El modelo de ML entrenado puntúa las operaciones realizadas por el usuario y considera anómalas aquellas cuya puntuación es mayor que el umbral definido.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de actividad de Azure |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas de MITRE ATT&CK: | T1190: vulnerabilidad de seguridad de Public-Facing aplicación |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Ejecución anómala de código
Descripción: los atacantes pueden abusar de los intérpretes de comandos y scripts para ejecutar comandos, scripts o archivos binarios. Estas interfaces y lenguajes proporcionan formas de interactuar con sistemas informáticos y son una característica común en muchas plataformas diferentes.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de actividad de Azure |
| Tácticas de MITRE ATT&CK: | Ejecución |
| Técnicas de MITRE ATT&CK: | T1059: intérprete de comandos y scripting |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Creación de cuentas locales anómalas
Descripción: Este algoritmo detecta la creación de cuentas locales anómalas en sistemas Windows. Los atacantes pueden crear cuentas locales para mantener el acceso a los sistemas de destino. Este algoritmo analiza la actividad de creación de cuentas locales en los últimos 14 días por parte de los usuarios. Busca una actividad similar en el día actual de los usuarios que no se han visto anteriormente en la actividad histórica. Puede especificar una lista de permitidos para filtrar los usuarios conocidos para desencadenar esta anomalía.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Persistencia |
| Técnicas de MITRE ATT&CK: | T1136- Crear cuenta |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Actividad anómala de análisis
Descripción: Este algoritmo busca la actividad de examen de puertos, procedente de una única dirección IP de origen a una o varias direcciones IP de destino, que normalmente no se ven en un entorno determinado.
El algoritmo tiene en cuenta si la dirección IP es pública, externa o privada/interna, y el evento se marca en consecuencia. En este momento, solo se considera la actividad privada a pública o pública a privada. La actividad de examen puede indicar que un atacante intenta determinar los servicios disponibles en un entorno que se puede aprovechar y usar para el movimiento lateral o de entrada. Un gran número de puertos de origen y un gran número de puertos de destino de una única dirección IP de origen a una o varias direcciones IP de destino pueden ser interesantes e indicar un análisis anómalo. Además, si hay una alta proporción de direcciones IP de destino con la dirección IP de origen única, esto puede indicar un análisis anómalo.
Detalles de configuración:
- El valor predeterminado de ejecución del trabajo es diario, con intervalos por hora.
El algoritmo usa los valores predeterminados configurables siguientes para limitar los resultados en función de los intervalos por hora. - Acciones de dispositivo incluidas: aceptar, permitir, iniciar
- Puertos excluidos: 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
- Recuento de puertos de destino distintos >= 600
- Recuento de puertos de origen distintos >= 600
- Recuento de puertos de origen distintos dividido por puerto de destino distinto, proporción convertida al porcentaje >= 99,99
- IP de origen (siempre 1) dividida por IP de destino, proporción convertida al porcentaje >= 99,99
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Tácticas de MITRE ATT&CK: | Detección |
| Técnicas de MITRE ATT&CK: | T1046: examen de servicios de red |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Actividades anómalas de usuario en Office Exchange
Descripción: este modelo de Machine Learning agrupa los registros de Office Exchange por usuario en cubos por hora. Definimos una hora como una sesión. El modelo se entrena en los 7 días anteriores del comportamiento en todos los usuarios normales (no administradores). Indica que el usuario anómalo Office Exchange sesiones en el último día.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registro de actividad de Office (Exchange) |
| Tácticas de MITRE ATT&CK: | Persistencia Colección |
| Técnicas de MITRE ATT&CK: | Colección: T1114: colección de correo electrónico T1213: datos de repositorios de información Persistencia T1098: manipulación de cuentas T1136- Crear cuenta T1137: inicio de la aplicación de Office T1505: componente de software de servidor |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Actividades anómalas de usuario o aplicación en los registros de auditoría de Azure
Descripción: este algoritmo identifica sesiones anómalas de usuario o aplicación de Azure en los registros de auditoría del último día, en función del comportamiento de los 21 días previos en todos los usuarios y aplicaciones. El algoritmo comprueba si hay suficiente volumen de datos antes de entrenar el modelo.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de auditoría de Microsoft Entra |
| Tácticas de MITRE ATT&CK: | Colección Detección Acceso inicial Persistencia Elevación de privilegios |
| Técnicas de MITRE ATT&CK: | Colección: T1530: datos del objeto de almacenamiento en la nube Detección: T1087: detección de cuentas T1538: panel de servicio en la nube T1526: descubrimiento de servicios en la nube T1069: detección de grupos de permisos T1518: detección de software Acceso inicial: T1190: vulnerabilidad de seguridad de Public-Facing aplicación T1078: cuentas válidas Persistencia T1098: manipulación de cuentas T1136- Crear cuenta T1078: cuentas válidas Elevación de privilegios: T1484: modificación de la directiva de dominio T1078: cuentas válidas |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Actividad anómala de registros W3CIIS
Descripción: Este algoritmo de aprendizaje automático indica sesiones de IIS anómalas durante el último día. Capturará, por ejemplo, un número inusualmente alto de consultas URI distintas, agentes de usuario o registros en una sesión, o de verbos HTTP o estados HTTP específicos en una sesión. El algoritmo identifica eventos W3CIISLog inusuales dentro de una sesión cada hora, agrupada por nombre de sitio y dirección IP del cliente. El modelo se entrena en los 7 días anteriores de la actividad de IIS. El algoritmo comprueba si hay suficiente volumen de actividad de IIS antes de entrenar el modelo.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de W3CIIS |
| Tácticas de MITRE ATT&CK: | Acceso inicial Persistencia |
| Técnicas de MITRE ATT&CK: | Acceso inicial: T1190: vulnerabilidad de seguridad de Public-Facing aplicación Persistencia T1505: componente de software de servidor |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Actividad anómala de solicitud web
Descripción: Este algoritmo agrupa los eventos W3CIISLog en sesiones por hora agrupadas por nombre de sitio y por raíz de URI. El modelo de aprendizaje automático identifica sesiones con un número inusualmente alto de solicitudes que desencadenaron códigos de respuesta de clase 5xx en el último día. Los códigos de clase 5xx indican que la solicitud ha desencadenado alguna inestabilidad de la aplicación o una condición de error. Pueden ser una indicación de que un atacante está sondeando el tallo del URI en busca de vulnerabilidades y problemas de configuración, realizando alguna actividad de explotación, como SQL inyección, o aprovechando una vulnerabilidad sin revisión. Este algoritmo usa 6 días de datos para el entrenamiento.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de W3CIIS |
| Tácticas de MITRE ATT&CK: | Acceso inicial Persistencia |
| Técnicas de MITRE ATT&CK: | Acceso inicial: T1190: vulnerabilidad de seguridad de Public-Facing aplicación Persistencia T1505: componente de software de servidor |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Intento de fuerza bruta de equipo
Descripción: este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (identificador de evento de seguridad 4625) por equipo durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso con credenciales |
| Técnicas de MITRE ATT&CK: | T1110 - Fuerza bruta |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Intento de fuerza bruta de la cuenta de usuario
Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (identificador de evento de seguridad 4625) por cuenta de usuario durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso con credenciales |
| Técnicas de MITRE ATT&CK: | T1110 - Fuerza bruta |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Intento de fuerza bruta de cuenta de usuario por tipo de inicio de sesión
Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (identificador de evento de seguridad 4625) por cuenta de usuario por tipo de inicio de sesión durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso con credenciales |
| Técnicas de MITRE ATT&CK: | T1110 - Fuerza bruta |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Intento de fuerza bruta de la cuenta de usuario por motivo del error
Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (identificador de evento de seguridad 4625) por cuenta de usuario por motivo de error durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso con credenciales |
| Técnicas de MITRE ATT&CK: | T1110 - Fuerza bruta |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Detección del comportamiento de señalización de red generado por la máquina
Descripción: este algoritmo identifica patrones de señalización de los registros de conexión de tráfico de red en función de patrones delta de tiempo recurrentes. Cualquier conexión de red hacia redes públicas que no son de confianza en intervalos de tiempo repetitivos es una indicación de devoluciones de llamada de malware o intentos de filtración de datos. El algoritmo calculará la diferencia de tiempo entre las conexiones de red consecutivas entre la misma dirección IP de origen y la IP de destino, así como el número de conexiones en una secuencia delta de tiempo entre los mismos orígenes y destinos. El porcentaje de balizas se calcula como las conexiones en la secuencia delta de tiempo con respecto al total de conexiones en un día.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | CommonSecurityLog (PAN) |
| Tácticas de MITRE ATT&CK: | Comando y control |
| Técnicas de MITRE ATT&CK: | T1071: protocolo de capa de aplicación T1132: codificación de datos T1001: ofuscación de datos T1568: resolución dinámica T1573: canal cifrado T1008: canales de reserva T1104: canales de varias fases T1095: protocolo de capa que no es de aplicación T1571: puerto no estándar T1572: canalización de protocolo T1090: proxy T1205: señalización de tráfico T1102: servicio web |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Algoritmo de generación de dominio (DGA) en dominios DNS
Descripción: Este modelo de Machine Learning indica posibles dominios de DGA del último día en los registros dns. El algoritmo se aplica a los registros DNS que se resuelven en direcciones IPv4 e IPv6.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Eventos DNS |
| Tácticas de MITRE ATT&CK: | Comando y control |
| Técnicas de MITRE ATT&CK: | T1568: resolución dinámica |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Anomalía de Palo Alto de reputación de dominio (DISCONTINUED)
Descripción: Este algoritmo evalúa la reputación de todos los dominios que se ven específicamente en los registros del firewall de Palo Alto (producto PAN-OS). Una puntuación de anomalía alta indica una baja reputación, lo que sugiere que el dominio se ha observado para hospedar contenido malintencionado o es probable que lo haga.
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Anomalías excesivas de transferencia de datos
Descripción: Este algoritmo detecta una transferencia de datos inusualmente alta observada en los registros de red. Usa series temporales para descomponer los datos en componentes estacionales, de tendencia y residuales para calcular la línea base. Cualquier desviación repentina grande de la línea de base histórica se considera actividad anómala.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Tácticas de MITRE ATT&CK: | Exfiltración |
| Técnicas de MITRE ATT&CK: | T1030: límites de tamaño de transferencia de datos T1041: filtración a través del canal C2 T1011: filtración a través de otro medio de red T1567: filtración a través del servicio web T1029: transferencia programada T1537: transferencia de datos a una cuenta en la nube |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Descargas excesivas a través de Palo Alto GlobalProtect
Descripción: este algoritmo detecta un volumen inusualmente elevado de descarga por cuenta de usuario a través de la solución VPN palo Alto. El modelo se entrena en los 14 días anteriores de los registros de VPN. Indica un gran volumen anómalo de descargas en el pasado día.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | CommonSecurityLog (VPN de PAN) |
| Tácticas de MITRE ATT&CK: | Exfiltración |
| Técnicas de MITRE ATT&CK: | T1030: límites de tamaño de transferencia de datos T1041: filtración a través del canal C2 T1011: filtración a través de otro medio de red T1567: filtración a través del servicio web T1029: transferencia programada T1537: transferencia de datos a una cuenta en la nube |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Descargas excesivas a través de Palo Alto GlobalProtect
Descripción: este algoritmo detecta un volumen inusualmente alto de carga por cuenta de usuario a través de la solución VPN de Palo Alto. El modelo se entrena en los 14 días anteriores de los registros de VPN. Indica un gran volumen anómalo de carga en el último día.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | CommonSecurityLog (VPN de PAN) |
| Tácticas de MITRE ATT&CK: | Exfiltración |
| Técnicas de MITRE ATT&CK: | T1030: límites de tamaño de transferencia de datos T1041: filtración a través del canal C2 T1011: filtración a través de otro medio de red T1567: filtración a través del servicio web T1029: transferencia programada T1537: transferencia de datos a una cuenta en la nube |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Inicio de sesión desde una región inusual a través de inicios de sesión de cuenta de Palo Alto GlobalProtect
Descripción: cuando una cuenta de Palo Alto GlobalProtect inicia sesión desde una región de origen que rara vez ha iniciado sesión durante los últimos 14 días, se desencadena una anomalía. Esta anomalía puede indicar que la cuenta se ha puesto en peligro.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | CommonSecurityLog (VPN de PAN) |
| Tácticas de MITRE ATT&CK: | Acceso con credenciales Acceso inicial Movimiento lateral |
| Técnicas de MITRE ATT&CK: | T1133- Servicios remotos externos |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Inicios de sesión en varias regiones en un solo día a través de Palo Alto GlobalProtect (DISCONTINUED)
Descripción: Este algoritmo detecta una cuenta de usuario que tenía inicios de sesión desde varias regiones no adyacentes en un solo día a través de una VPN de Palo Alto.
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Almacenamiento provisional de datos potencial
Descripción: este algoritmo compara las descargas de archivos distintos por usuario de la semana anterior con las descargas del día actual para cada usuario y se desencadena una anomalía cuando el número de descargas de archivos distintos supera el número configurado de desviaciones estándar por encima de la media. Actualmente, el algoritmo solo analiza los archivos que se ven normalmente durante la filtración de documentos, imágenes, vídeos y archivos con las extensiones doc, docx, xls, xlsx, xlsm, ppt, pptx, one, pdf, zip, rar, bmp, jpg, mp3, mp4 y mov.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registro de actividad de Office (Exchange) |
| Tácticas de MITRE ATT&CK: | Collection |
| Técnicas de MITRE ATT&CK: | T1074: datos almacenados provisionalmente |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Posible algoritmo de generación de dominios (DGA) en dominios DNS de siguiente nivel
Descripción: este modelo de Machine Learning indica los dominios de siguiente nivel (tercer nivel y superior) de los nombres de dominio del último día de los registros DNS que son inusuales. Podrían ser la salida de un algoritmo de generación de dominio (DGA). La anomalía se aplica a los registros DNS que se resuelven en direcciones IPv4 e IPv6.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Eventos DNS |
| Tácticas de MITRE ATT&CK: | Comando y control |
| Técnicas de MITRE ATT&CK: | T1568: resolución dinámica |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Cambio de geografía sospechoso en los inicios de sesión de la cuenta de Palo Alto GlobalProtect
Descripción: una coincidencia indica que un usuario ha iniciado sesión de forma remota desde un país o región diferente del país o región del último inicio de sesión remoto del usuario. Esta regla también puede indicar un riesgo de cuenta, especialmente si las coincidencias de reglas se produjeron estrechamente en el tiempo. Esto incluye el escenario de viaje imposible.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | CommonSecurityLog (VPN de PAN) |
| Tácticas de MITRE ATT&CK: | Acceso inicial Acceso con credenciales |
| Técnicas de MITRE ATT&CK: | T1133- Servicios remotos externos T1078: cuentas válidas |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Número sospechoso de documentos protegidos a los que se ha accedido
Descripción: este algoritmo detecta un gran volumen de acceso a documentos protegidos en los registros de Azure Information Protection (AIP). Considera los registros de carga de trabajo de AIP durante un número determinado de días y determina si el usuario ha realizado un acceso inusual a los documentos protegidos en un día dado el comportamiento histórico.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de Azure Information Protection |
| Tácticas de MITRE ATT&CK: | Collection |
| Técnicas de MITRE ATT&CK: | T1530: datos del objeto de almacenamiento en la nube T1213: datos de repositorios de información T1005: datos del sistema local T1039: datos de la unidad compartida de red T1114: colección de correo electrónico |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Volumen sospechoso de llamadas API de AWS desde la dirección IP de origen que no es de AWS
Descripción: este algoritmo detecta un volumen inusualmente elevado de llamadas API de AWS por cuenta de usuario por área de trabajo, desde direcciones IP de origen fuera de los intervalos IP de origen de AWS, en el último día. El modelo se entrena en los 21 días previos de los eventos de registro de AWS CloudTrail por dirección IP de origen. Esta actividad puede indicar que la cuenta de usuario está en peligro.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de AWS CloudTrail |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas de MITRE ATT&CK: | T1078: cuentas válidas |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Volumen sospechoso de eventos de registro de AWS CloudTrail de la cuenta de usuario de grupo por EventTypeName
Descripción: este algoritmo detecta un volumen inusualmente elevado de eventos por cuenta de usuario de grupo, por diferentes tipos de eventos (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction), en el registro de AWS CloudTrail en el último día. El modelo se entrena en los 21 días previos al eventos de registro de AWS CloudTrail por cuenta de usuario de grupo. Esta actividad puede indicar que la cuenta está en peligro.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de AWS CloudTrail |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas de MITRE ATT&CK: | T1078: cuentas válidas |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Volumen sospechoso de llamadas API de escritura de AWS desde una cuenta de usuario
Descripción: este algoritmo detecta un volumen inusualmente alto de llamadas API de escritura de AWS por cuenta de usuario en el último día. El modelo se entrena en los 21 días previos al eventos de registro de AWS CloudTrail por cuenta de usuario. Esta actividad puede indicar que la cuenta está en peligro.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de AWS CloudTrail |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas de MITRE ATT&CK: | T1078: cuentas válidas |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Volumen sospechoso de intentos de inicio de sesión erróneos en la consola de AWS por cada cuenta de usuario de grupo
Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos en la consola de AWS por cuenta de usuario de grupo en el registro de AWS CloudTrail en el último día. El modelo se entrena en los 21 días previos al eventos de registro de AWS CloudTrail por cuenta de usuario de grupo. Esta actividad puede indicar que la cuenta está en peligro.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de AWS CloudTrail |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas de MITRE ATT&CK: | T1078: cuentas válidas |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Volumen sospechoso de intentos de inicio de sesión erróneos en la consola de AWS por cada dirección IP de origen
Descripción: Este algoritmo detecta un volumen inusualmente alto de eventos de inicio de sesión con errores en la consola de AWS por dirección IP de origen en el registro de AWS CloudTrail en el último día. El modelo se entrena en los 21 días previos de los eventos de registro de AWS CloudTrail por dirección IP de origen. Esta actividad puede indicar que la dirección IP está en peligro.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de AWS CloudTrail |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas de MITRE ATT&CK: | T1078: cuentas válidas |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Volumen sospechoso de inicios de sesión en el equipo
Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) por equipo durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas de MITRE ATT&CK: | T1078: cuentas válidas |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Volumen sospechoso de inicios de sesión en el equipo con un token con privilegios elevados
Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) con privilegios administrativos, por equipo, durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas de MITRE ATT&CK: | T1078: cuentas válidas |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Volumen sospechoso de inicios de sesión en la cuenta de usuario
Descripción: este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (identificador de evento de seguridad 4624) por equipo durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas de MITRE ATT&CK: | T1078: cuentas válidas |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Volumen sospechoso de inicios de sesión en la cuenta de usuario por tipos de inicio de sesión
Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) por cuenta de usuario, por diferentes tipos de inicio de sesión, durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas de MITRE ATT&CK: | T1078: cuentas válidas |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Volumen sospechoso de inicios de sesión en una cuenta de usuario con un token con privilegios elevados
Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) con privilegios administrativos, por cuenta de usuario, durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas de MITRE ATT&CK: | T1078: cuentas válidas |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Se detectó una alarma de firewall externa inusual
Descripción: Este algoritmo identifica alarmas de firewall externas inusuales que son firmas de amenazas publicadas por un proveedor de firewall. Usa las actividades de los últimos 7 días para calcular las 10 firmas más desencadenadas y los 10 hosts que desencadenaron la mayoría de las firmas. Después de excluir ambos tipos de eventos ruidosos, desencadena una anomalía solo después de superar el umbral del número de firmas desencadenadas en un solo día.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | CommonSecurityLog (PAN) |
| Tácticas de MITRE ATT&CK: | Detección Comando y control |
| Técnicas de MITRE ATT&CK: | Detección: T1046: examen de servicios de red T1135: detección de recursos compartidos de red Comando y control: T1071: protocolo de capa de aplicación T1095: protocolo de capa que no es de aplicación T1571: puerto no estándar |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Etiqueta AIP de degradación masiva inusual
Descripción: Este algoritmo detecta un volumen inusualmente alto de actividad de etiquetas de degradación en los registros de Azure Information Protection (AIP). Considera los registros de carga de trabajo de "AIP" durante un número determinado de días y determina la secuencia de actividad realizada en los documentos junto con la etiqueta aplicada para clasificar un volumen inusual de actividad de degradación.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de Azure Information Protection |
| Tácticas de MITRE ATT&CK: | Collection |
| Técnicas de MITRE ATT&CK: | T1530: datos del objeto de almacenamiento en la nube T1213: datos de repositorios de información T1005: datos del sistema local T1039: datos de la unidad compartida de red T1114: colección de correo electrónico |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Comunicación de red inusual en puertos de uso frecuente
Descripción: Este algoritmo identifica la comunicación de red inusual en puertos usados habitualmente, comparando el tráfico diario con una línea base de los 7 días anteriores. Esto incluye el tráfico en puertos usados habitualmente (22, 53, 80, 443, 8080, 8888) y compara el tráfico diario con la desviación media y estándar de varios atributos de tráfico de red calculados durante el período de línea base. Los atributos de tráfico considerados son eventos totales diarios, transferencia de datos diaria y número de direcciones IP de origen distintas por puerto. Una anomalía se desencadena cuando los valores diarios son mayores que el número configurado de desviaciones estándar por encima de la media.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| Tácticas de MITRE ATT&CK: | Comando y control Exfiltración |
| Técnicas de MITRE ATT&CK: | Comando y control: T1071: protocolo de capa de aplicación | Exfiltración: T1030: límites de tamaño de transferencia de datos |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Anomalías de volumen de red inusuales
Descripción: este algoritmo detecta un volumen inusualmente elevado de conexiones en los registros de red. Usa series temporales para descomponer los datos en componentes estacionales, de tendencia y residuales para calcular la línea base. Cualquier desviación repentina de gran tamaño de la línea base histórica se considera una actividad anómala.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| Tácticas de MITRE ATT&CK: | Exfiltración |
| Técnicas de MITRE ATT&CK: | T1030: límites de tamaño de transferencia de datos |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Tráfico web inusual detectado con ip en la ruta de acceso de dirección URL
Descripción: este algoritmo identifica solicitudes web inusuales que enumeran una dirección IP como el host. El algoritmo busca todas las solicitudes web con direcciones IP en la ruta de acceso de la dirección URL y las compara con la semana anterior de datos para excluir el tráfico benigno conocido. Después de excluir el tráfico benigno conocido, desencadena una anomalía solo después de superar determinados umbrales con valores configurados, como solicitudes web totales, números de direcciones URL que se ven con la misma dirección IP de destino del host y el número de direcciones IP de origen distintas dentro del conjunto de direcciones URL con la misma dirección IP de destino. Este tipo de solicitud puede indicar un intento de omitir los servicios de reputación de dirección URL con fines malintencionados.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| Tácticas de MITRE ATT&CK: | Comando y control Acceso inicial |
| Técnicas de MITRE ATT&CK: | Comando y control: T1071: protocolo de capa de aplicación Acceso inicial: T1189: compromiso oculto |
Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior
Pasos siguientes
Obtenga información sobre las anomalías generadas por el aprendizaje automático en Microsoft Sentinel.
Obtenga información sobre cómo trabajar con reglas de anomalías.
Investigación de incidentes con Microsoft Sentinel