Compartir vía


Anomalías detectadas por el motor de aprendizaje automático de Microsoft Sentinel

En este artículo se enumeran las anomalías que Microsoft Sentinel detecta mediante diferentes modelos de aprendizaje automático.

La detección de anomalías funciona mediante el análisis del comportamiento de los usuarios en un entorno durante un período de tiempo y la construcción de una línea base de actividad legítima. Una vez establecida la línea base, cualquier actividad fuera de los parámetros normales se considera anómala y, por tanto, sospechosa.

Microsoft Sentinel usa dos modelos diferentes para crear líneas base y detectar anomalías.

Nota:

Las siguientes detecciones de anomalías están interrumpidas desde el 26 de marzo de 2024 debido a una baja calidad de los resultados:

  • Anomalía de Palo Alto de reputación de dominio
  • Inicios de sesión en varias regiones en un solo día a través de Palo Alto GlobalProtect

Importante

Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificadas de Microsoft en el portal de Microsoft Defender. Para obtener una versión preliminar, Microsoft Sentinel está disponible en el portal de Defender sin XDR de Microsoft Defender ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Anomalías de UEBA

Sentinel UEBA detecta anomalías basadas en líneas base dinámicas creadas para cada entidad en distintas entradas de datos. El comportamiento de la línea de base de cada entidad se establece según sus propias actividades históricas, las de sus nodos del mismo nivel y las de la organización en su conjunto. Las anomalías se pueden desencadenar mediante la correlación de diferentes atributos, como el tipo de acción, la ubicación geográfica, el dispositivo, el recurso, el ISP, etc.

Debe habilitar la característica UEBA para que se detecten anomalías de UEBA.

Eliminación anómala de acceso a la cuenta

Descripción: un atacante puede interrumpir la disponibilidad de los recursos de red y del sistema bloqueando el acceso a las cuentas usadas por los usuarios legítimos. El atacante puede eliminar, bloquear o manipular una cuenta (por ejemplo, cambiando sus credenciales) para quitar el acceso a ella.

Atributo Valor
Tipo de anomalía: UEBA
Orígenes de datos: Registros de actividad de Azure
Tácticas de MITRE ATT&CK: Impacto
Técnicas de MITRE ATT&CK: T1531: eliminación de acceso a la cuenta
Actividad: Microsoft.Authorization/roleAssignments/delete
Cerrar sesión

Volver a la lista | de anomalías de UEBA Volver a la parte superior

Creación de cuentas anómalas

Descripción: Los adversarios pueden crear una cuenta para mantener el acceso a los sistemas de destino. Con un nivel de acceso suficiente, la creación de estas cuentas se puede usar para establecer el acceso con credenciales secundarias sin necesidad de implementar herramientas de acceso remoto persistentes en el sistema.

Atributo Valor
Tipo de anomalía: UEBA
Orígenes de datos: Registros de auditoría de Microsoft Entra
Tácticas de MITRE ATT&CK: Persistencia
Técnicas de MITRE ATT&CK: T1136- Crear cuenta
Sub-técnicas DE MITRE ATT&CK: Cuenta en la nube
Actividad: Directorio principal/UserManagement/Agregar usuario

Volver a la lista | de anomalías de UEBA Volver a la parte superior

Eliminación anómala de la cuenta

Descripción: los adversarios pueden interrumpir la disponibilidad de los recursos de red y del sistema al impedir el acceso a las cuentas utilizadas por los usuarios legítimos. Las cuentas se pueden eliminar, bloquear o manipular (por ejemplo, credenciales modificadas) para quitar el acceso a las cuentas.

Atributo Valor
Tipo de anomalía: UEBA
Orígenes de datos: Registros de auditoría de Microsoft Entra
Tácticas de MITRE ATT&CK: Impacto
Técnicas de MITRE ATT&CK: T1531: eliminación de acceso a la cuenta
Actividad: Directorio principal/UserManagement/Agregar usuario
Directorio principal, dispositivo o eliminación de usuario
Directorio principal/UserManagement/Agregar usuario

Volver a la lista | de anomalías de UEBA Volver a la parte superior

Manipulación anómala de cuentas

Descripción: Los adversarios pueden manipular cuentas para mantener el acceso a los sistemas de destino. Estas acciones incluyen agregar nuevas cuentas a grupos con privilegios elevados. Dragonfly 2.0, por ejemplo, se agregaron cuentas recién creadas al grupo de administradores para mantener el acceso elevado. La consulta siguiente genera una salida de todos los usuarios de High-Blast Radius que realizan "Actualizar usuario" (cambio de nombre) al rol con privilegios o a los que cambiaron los usuarios por primera vez.

Atributo Valor
Tipo de anomalía: UEBA
Orígenes de datos: Registros de auditoría de Microsoft Entra
Tácticas de MITRE ATT&CK: Persistencia
Técnicas de MITRE ATT&CK: T1098: manipulación de cuentas
Actividad: Directorio principal/UserManagement/Agregar usuario

Volver a la lista | de anomalías de UEBA Volver a la parte superior

Ejecución anómala de código (UEBA)

Descripción: los adversarios pueden abusar de los intérpretes de comandos y scripts para ejecutar comandos, scripts o archivos binarios. Estas interfaces y lenguajes proporcionan formas de interactuar con sistemas informáticos y son una característica común en muchas plataformas diferentes.

Atributo Valor
Tipo de anomalía: UEBA
Orígenes de datos: Registros de actividad de Azure
Tácticas de MITRE ATT&CK: Ejecución
Técnicas de MITRE ATT&CK: T1059: intérprete de comandos y scripting
Sub-técnicas DE MITRE ATT&CK: PowerShell
Actividad: Microsoft.Compute/virtualMachines/runCommand/action

Volver a la lista | de anomalías de UEBA Volver a la parte superior

Destrucción anómala de datos

Descripción: los adversarios pueden destruir datos y archivos en sistemas específicos o en grandes cantidades en una red para interrumpir la disponibilidad de los sistemas, los servicios y los recursos de red. Es probable que la destrucción de datos represente los datos almacenados irrecuperables por técnicas forenses mediante la sobrescritura de archivos o datos en unidades locales y remotas.

Atributo Valor
Tipo de anomalía: UEBA
Orígenes de datos: Registros de actividad de Azure
Tácticas de MITRE ATT&CK: Impacto
Técnicas de MITRE ATT&CK: T1485: destrucción de datos
Actividad: Microsoft.Compute/disks/delete
Microsoft.Compute/galleries/images/delete
Microsoft.Compute/hostGroups/delete
Microsoft.Compute/hostGroups/hosts/delete
Microsoft.Compute/images/delete
Microsoft.Compute/virtualMachines/delete
Microsoft.Compute/virtualMachineScaleSets/delete
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete
Microsoft.Devices/digitalTwins/Delete
Microsoft.Devices/iotHubs/Delete
Microsoft.KeyVault/vaults/delete
Microsoft.Logic/integrationAccounts/delete
Microsoft.Logic/integrationAccounts/maps/delete
Microsoft.Logic/integrationAccounts/schemas/delete
Microsoft.Logic/integrationAccounts/partners/delete
Microsoft.Logic/integrationServiceEnvironments/delete
Microsoft.Logic/workflows/delete
Microsoft.Resources/subscriptions/resourceGroups/delete
Microsoft.Sql/instancePools/delete
Microsoft.Sql/managedInstances/delete
Microsoft.Sql/managedInstances/administrators/delete
Microsoft.Sql/managedInstances/databases/delete
Microsoft.Storage/storageAccounts/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete
Microsoft.Storage/storageAccounts/blobServices/containers/delete
Microsoft.AAD/domainServices/delete

Volver a la lista | de anomalías de UEBA Volver a la parte superior

Modificación anómala del mecanismo defensivo

Descripción: los adversarios pueden deshabilitar las herramientas de seguridad para evitar la posible detección de sus herramientas y actividades.

Atributo Valor
Tipo de anomalía: UEBA
Orígenes de datos: Registros de actividad de Azure
Tácticas de MITRE ATT&CK: Evasión defensiva
Técnicas de MITRE ATT&CK: T1562: afectar a las defensas
Sub-técnicas DE MITRE ATT&CK: Deshabilitar o modificar herramientas
Deshabilitación o modificación del firewall en la nube
Actividad: Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete
Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete
Microsoft.Network/networkSecurityGroups/securityRules/delete
Microsoft.Network/networkSecurityGroups/delete
Microsoft.Network/ddosProtectionPlans/delete
Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete
Microsoft.Network/applicationSecurityGroups/delete
Microsoft.Authorization/policyAssignments/delete
Microsoft.Sql/servers/firewallRules/delete
Microsoft.Network/firewallPolicies/delete
Microsoft.Network/azurefirewalls/delete

Volver a la lista | de anomalías de UEBA Volver a la parte superior

Inicio de sesión anómalo con errores

Descripción: los adversarios sin conocimiento previo de credenciales legítimas dentro del sistema o el entorno pueden adivinar las contraseñas para intentar acceder a las cuentas.

Atributo Valor
Tipo de anomalía: UEBA
Orígenes de datos: Registros de inicio de sesión de Microsoft Entra
Registros de seguridad de Windows
Tácticas de MITRE ATT&CK: Acceso con credenciales
Técnicas de MITRE ATT&CK: T1110 - Fuerza bruta
Actividad: Microsoft Entra ID: actividad de inicio de sesión
Seguridad de Windows: Error de inicio de sesión (id. de evento 4625)

Volver a la lista | de anomalías de UEBA Volver a la parte superior

Restablecimiento anómalo de contraseña

Descripción: los adversarios pueden interrumpir la disponibilidad de los recursos de red y del sistema al impedir el acceso a las cuentas utilizadas por los usuarios legítimos. Las cuentas se pueden eliminar, bloquear o manipular (por ejemplo, credenciales modificadas) para quitar el acceso a las cuentas.

Atributo Valor
Tipo de anomalía: UEBA
Orígenes de datos: Registros de auditoría de Microsoft Entra
Tácticas de MITRE ATT&CK: Impacto
Técnicas de MITRE ATT&CK: T1531: eliminación de acceso a la cuenta
Actividad: Directorio principal,UserManagement/Restablecimiento de contraseña de usuario

Volver a la lista | de anomalías de UEBA Volver a la parte superior

Privilegio anómalo concedido

Descripción: Los adversarios pueden agregar credenciales controladas por adversarios para entidades de servicio de Azure, además de credenciales legítimas existentes para mantener el acceso persistente a las cuentas de Azure víctimas.

Atributo Valor
Tipo de anomalía: UEBA
Orígenes de datos: Registros de auditoría de Microsoft Entra
Tácticas de MITRE ATT&CK: Persistencia
Técnicas de MITRE ATT&CK: T1098: manipulación de cuentas
Sub-técnicas DE MITRE ATT&CK: Credenciales principales del servicio Azure adicionales
Actividad: Aprovisionamiento de cuentas/Administración de aplicaciones/Agregar asignación de roles de aplicación a la entidad de servicio

Volver a la lista | de anomalías de UEBA Volver a la parte superior

Inicios de sesión anómalos

Descripción: los adversarios pueden robar las credenciales de una cuenta de usuario o de servicio concreta mediante técnicas de acceso a credenciales, o bien capturar las credenciales anteriormente en su proceso de reconocimiento mediante la ingeniería social para obtener la persistencia.

Atributo Valor
Tipo de anomalía: UEBA
Orígenes de datos: Registros de inicio de sesión de Microsoft Entra
Registros de seguridad de Windows
Tácticas de MITRE ATT&CK: Persistencia
Técnicas de MITRE ATT&CK: T1078: cuentas válidas
Actividad: Microsoft Entra ID: actividad de inicio de sesión
Seguridad de Windows: inicio de sesión correcto (id. de evento 4624)

Volver a la lista | de anomalías de UEBA Volver a la parte superior

Anomalías basadas en aprendizaje automático

Las anomalías personalizables basadas en aprendizaje automático de Microsoft Sentinel pueden identificar comportamientos anómalos con plantillas de reglas de análisis que se pueden poner a funcionar de forma automática. Aunque las anomalías no indican necesariamente un comportamiento malintencionado o incluso sospechoso por sí mismas, se pueden usar para mejorar las detecciones, las investigaciones y la búsqueda de amenazas.

Sesiones de inicio de sesión anómalas de Microsoft Entra

Descripción: el modelo de Machine Learning agrupa los registros de inicio de sesión de Microsoft Entra por usuario. El modelo se entrena en los 6 días anteriores del comportamiento de inicio de sesión del usuario. Indica sesiones anómalas de inicio de sesión de usuario durante el último día.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de inicio de sesión de Microsoft Entra
Tácticas de MITRE ATT&CK: Acceso inicial
Técnicas de MITRE ATT&CK: T1078: cuentas válidas
T1566: suplantación de identidad
T1133- Servicios remotos externos

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Operaciones anómalas de Azure

Descripción: este algoritmo de detección recopila datos de 21 días en las operaciones de Azure agrupadas por el usuario para entrenar este modelo de ML. A continuación, el algoritmo genera anomalías en el caso de los usuarios que realizaron secuencias de operaciones poco frecuentes en sus áreas de trabajo. El modelo de ML entrenado puntúa las operaciones realizadas por el usuario y considera anómalas aquellas cuya puntuación es mayor que el umbral definido.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de actividad de Azure
Tácticas de MITRE ATT&CK: Acceso inicial
Técnicas de MITRE ATT&CK: T1190: vulnerabilidad de seguridad de Public-Facing aplicación

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Ejecución anómala de código

Descripción: los atacantes pueden abusar de los intérpretes de comandos y scripts para ejecutar comandos, scripts o archivos binarios. Estas interfaces y lenguajes proporcionan formas de interactuar con sistemas informáticos y son una característica común en muchas plataformas diferentes.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de actividad de Azure
Tácticas de MITRE ATT&CK: Ejecución
Técnicas de MITRE ATT&CK: T1059: intérprete de comandos y scripting

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Creación de cuentas locales anómalas

Descripción: Este algoritmo detecta la creación de cuentas locales anómalas en sistemas Windows. Los atacantes pueden crear cuentas locales para mantener el acceso a los sistemas de destino. Este algoritmo analiza la actividad de creación de cuentas locales en los últimos 14 días por parte de los usuarios. Busca una actividad similar en el día actual de los usuarios que no se han visto anteriormente en la actividad histórica. Puede especificar una lista de permitidos para filtrar los usuarios conocidos para desencadenar esta anomalía.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de seguridad de Windows
Tácticas de MITRE ATT&CK: Persistencia
Técnicas de MITRE ATT&CK: T1136- Crear cuenta

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Actividad anómala de análisis

Descripción: Este algoritmo busca la actividad de examen de puertos, procedente de una única dirección IP de origen a una o varias direcciones IP de destino, que normalmente no se ven en un entorno determinado.

El algoritmo tiene en cuenta si la dirección IP es pública, externa o privada/interna, y el evento se marca en consecuencia. En este momento, solo se considera la actividad privada a pública o pública a privada. La actividad de examen puede indicar que un atacante intenta determinar los servicios disponibles en un entorno que se puede aprovechar y usar para el movimiento lateral o de entrada. Un gran número de puertos de origen y un gran número de puertos de destino de una única dirección IP de origen a una o varias direcciones IP de destino pueden ser interesantes e indicar un análisis anómalo. Además, si hay una alta proporción de direcciones IP de destino con la dirección IP de origen única, esto puede indicar un análisis anómalo.

Detalles de configuración:

  • El valor predeterminado de ejecución del trabajo es diario, con intervalos por hora.
    El algoritmo usa los valores predeterminados configurables siguientes para limitar los resultados en función de los intervalos por hora.
  • Acciones de dispositivo incluidas: aceptar, permitir, iniciar
  • Puertos excluidos: 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
  • Recuento de puertos de destino distintos >= 600
  • Recuento de puertos de origen distintos >= 600
  • Recuento de puertos de origen distintos dividido por puerto de destino distinto, proporción convertida al porcentaje >= 99,99
  • IP de origen (siempre 1) dividida por IP de destino, proporción convertida al porcentaje >= 99,99
Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet)
Tácticas de MITRE ATT&CK: Detección
Técnicas de MITRE ATT&CK: T1046: examen de servicios de red

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Actividades anómalas de usuario en Office Exchange

Descripción: este modelo de Machine Learning agrupa los registros de Office Exchange por usuario en cubos por hora. Definimos una hora como una sesión. El modelo se entrena en los 7 días anteriores del comportamiento en todos los usuarios normales (no administradores). Indica que el usuario anómalo Office Exchange sesiones en el último día.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registro de actividad de Office (Exchange)
Tácticas de MITRE ATT&CK: Persistencia
Colección
Técnicas de MITRE ATT&CK: Colección:
T1114: colección de correo electrónico
T1213: datos de repositorios de información

Persistencia
T1098: manipulación de cuentas
T1136- Crear cuenta
T1137: inicio de la aplicación de Office
T1505: componente de software de servidor

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Actividades anómalas de usuario o aplicación en los registros de auditoría de Azure

Descripción: este algoritmo identifica sesiones anómalas de usuario o aplicación de Azure en los registros de auditoría del último día, en función del comportamiento de los 21 días previos en todos los usuarios y aplicaciones. El algoritmo comprueba si hay suficiente volumen de datos antes de entrenar el modelo.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de auditoría de Microsoft Entra
Tácticas de MITRE ATT&CK: Colección
Detección
Acceso inicial
Persistencia
Elevación de privilegios
Técnicas de MITRE ATT&CK: Colección:
T1530: datos del objeto de almacenamiento en la nube

Detección:
T1087: detección de cuentas
T1538: panel de servicio en la nube
T1526: descubrimiento de servicios en la nube
T1069: detección de grupos de permisos
T1518: detección de software

Acceso inicial:
T1190: vulnerabilidad de seguridad de Public-Facing aplicación
T1078: cuentas válidas

Persistencia
T1098: manipulación de cuentas
T1136- Crear cuenta
T1078: cuentas válidas

Elevación de privilegios:
T1484: modificación de la directiva de dominio
T1078: cuentas válidas

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Actividad anómala de registros W3CIIS

Descripción: Este algoritmo de aprendizaje automático indica sesiones de IIS anómalas durante el último día. Capturará, por ejemplo, un número inusualmente alto de consultas URI distintas, agentes de usuario o registros en una sesión, o de verbos HTTP o estados HTTP específicos en una sesión. El algoritmo identifica eventos W3CIISLog inusuales dentro de una sesión cada hora, agrupada por nombre de sitio y dirección IP del cliente. El modelo se entrena en los 7 días anteriores de la actividad de IIS. El algoritmo comprueba si hay suficiente volumen de actividad de IIS antes de entrenar el modelo.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de W3CIIS
Tácticas de MITRE ATT&CK: Acceso inicial
Persistencia
Técnicas de MITRE ATT&CK: Acceso inicial:
T1190: vulnerabilidad de seguridad de Public-Facing aplicación

Persistencia
T1505: componente de software de servidor

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Actividad anómala de solicitud web

Descripción: Este algoritmo agrupa los eventos W3CIISLog en sesiones por hora agrupadas por nombre de sitio y por raíz de URI. El modelo de aprendizaje automático identifica sesiones con un número inusualmente alto de solicitudes que desencadenaron códigos de respuesta de clase 5xx en el último día. Los códigos de clase 5xx indican que la solicitud ha desencadenado alguna inestabilidad de la aplicación o una condición de error. Pueden ser una indicación de que un atacante está sondeando el tallo del URI en busca de vulnerabilidades y problemas de configuración, realizando alguna actividad de explotación, como SQL inyección, o aprovechando una vulnerabilidad sin revisión. Este algoritmo usa 6 días de datos para el entrenamiento.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de W3CIIS
Tácticas de MITRE ATT&CK: Acceso inicial
Persistencia
Técnicas de MITRE ATT&CK: Acceso inicial:
T1190: vulnerabilidad de seguridad de Public-Facing aplicación

Persistencia
T1505: componente de software de servidor

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Intento de fuerza bruta de equipo

Descripción: este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (identificador de evento de seguridad 4625) por equipo durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de seguridad de Windows
Tácticas de MITRE ATT&CK: Acceso con credenciales
Técnicas de MITRE ATT&CK: T1110 - Fuerza bruta

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Intento de fuerza bruta de la cuenta de usuario

Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (identificador de evento de seguridad 4625) por cuenta de usuario durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de seguridad de Windows
Tácticas de MITRE ATT&CK: Acceso con credenciales
Técnicas de MITRE ATT&CK: T1110 - Fuerza bruta

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Intento de fuerza bruta de cuenta de usuario por tipo de inicio de sesión

Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (identificador de evento de seguridad 4625) por cuenta de usuario por tipo de inicio de sesión durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de seguridad de Windows
Tácticas de MITRE ATT&CK: Acceso con credenciales
Técnicas de MITRE ATT&CK: T1110 - Fuerza bruta

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Intento de fuerza bruta de la cuenta de usuario por motivo del error

Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (identificador de evento de seguridad 4625) por cuenta de usuario por motivo de error durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de seguridad de Windows
Tácticas de MITRE ATT&CK: Acceso con credenciales
Técnicas de MITRE ATT&CK: T1110 - Fuerza bruta

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Detección del comportamiento de señalización de red generado por la máquina

Descripción: este algoritmo identifica patrones de señalización de los registros de conexión de tráfico de red en función de patrones delta de tiempo recurrentes. Cualquier conexión de red hacia redes públicas que no son de confianza en intervalos de tiempo repetitivos es una indicación de devoluciones de llamada de malware o intentos de filtración de datos. El algoritmo calculará la diferencia de tiempo entre las conexiones de red consecutivas entre la misma dirección IP de origen y la IP de destino, así como el número de conexiones en una secuencia delta de tiempo entre los mismos orígenes y destinos. El porcentaje de balizas se calcula como las conexiones en la secuencia delta de tiempo con respecto al total de conexiones en un día.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: CommonSecurityLog (PAN)
Tácticas de MITRE ATT&CK: Comando y control
Técnicas de MITRE ATT&CK: T1071: protocolo de capa de aplicación
T1132: codificación de datos
T1001: ofuscación de datos
T1568: resolución dinámica
T1573: canal cifrado
T1008: canales de reserva
T1104: canales de varias fases
T1095: protocolo de capa que no es de aplicación
T1571: puerto no estándar
T1572: canalización de protocolo
T1090: proxy
T1205: señalización de tráfico
T1102: servicio web

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Algoritmo de generación de dominio (DGA) en dominios DNS

Descripción: Este modelo de Machine Learning indica posibles dominios de DGA del último día en los registros dns. El algoritmo se aplica a los registros DNS que se resuelven en direcciones IPv4 e IPv6.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Eventos DNS
Tácticas de MITRE ATT&CK: Comando y control
Técnicas de MITRE ATT&CK: T1568: resolución dinámica

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Anomalía de Palo Alto de reputación de dominio (DISCONTINUED)

Descripción: Este algoritmo evalúa la reputación de todos los dominios que se ven específicamente en los registros del firewall de Palo Alto (producto PAN-OS). Una puntuación de anomalía alta indica una baja reputación, lo que sugiere que el dominio se ha observado para hospedar contenido malintencionado o es probable que lo haga.

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Anomalías excesivas de transferencia de datos

Descripción: Este algoritmo detecta una transferencia de datos inusualmente alta observada en los registros de red. Usa series temporales para descomponer los datos en componentes estacionales, de tendencia y residuales para calcular la línea base. Cualquier desviación repentina grande de la línea de base histórica se considera actividad anómala.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet)
Tácticas de MITRE ATT&CK: Exfiltración
Técnicas de MITRE ATT&CK: T1030: límites de tamaño de transferencia de datos
T1041: filtración a través del canal C2
T1011: filtración a través de otro medio de red
T1567: filtración a través del servicio web
T1029: transferencia programada
T1537: transferencia de datos a una cuenta en la nube

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Descargas excesivas a través de Palo Alto GlobalProtect

Descripción: este algoritmo detecta un volumen inusualmente elevado de descarga por cuenta de usuario a través de la solución VPN palo Alto. El modelo se entrena en los 14 días anteriores de los registros de VPN. Indica un gran volumen anómalo de descargas en el pasado día.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: CommonSecurityLog (VPN de PAN)
Tácticas de MITRE ATT&CK: Exfiltración
Técnicas de MITRE ATT&CK: T1030: límites de tamaño de transferencia de datos
T1041: filtración a través del canal C2
T1011: filtración a través de otro medio de red
T1567: filtración a través del servicio web
T1029: transferencia programada
T1537: transferencia de datos a una cuenta en la nube

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Descargas excesivas a través de Palo Alto GlobalProtect

Descripción: este algoritmo detecta un volumen inusualmente alto de carga por cuenta de usuario a través de la solución VPN de Palo Alto. El modelo se entrena en los 14 días anteriores de los registros de VPN. Indica un gran volumen anómalo de carga en el último día.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: CommonSecurityLog (VPN de PAN)
Tácticas de MITRE ATT&CK: Exfiltración
Técnicas de MITRE ATT&CK: T1030: límites de tamaño de transferencia de datos
T1041: filtración a través del canal C2
T1011: filtración a través de otro medio de red
T1567: filtración a través del servicio web
T1029: transferencia programada
T1537: transferencia de datos a una cuenta en la nube

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Inicio de sesión desde una región inusual a través de inicios de sesión de cuenta de Palo Alto GlobalProtect

Descripción: cuando una cuenta de Palo Alto GlobalProtect inicia sesión desde una región de origen que rara vez ha iniciado sesión durante los últimos 14 días, se desencadena una anomalía. Esta anomalía puede indicar que la cuenta se ha puesto en peligro.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: CommonSecurityLog (VPN de PAN)
Tácticas de MITRE ATT&CK: Acceso con credenciales
Acceso inicial
Movimiento lateral
Técnicas de MITRE ATT&CK: T1133- Servicios remotos externos

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Inicios de sesión en varias regiones en un solo día a través de Palo Alto GlobalProtect (DISCONTINUED)

Descripción: Este algoritmo detecta una cuenta de usuario que tenía inicios de sesión desde varias regiones no adyacentes en un solo día a través de una VPN de Palo Alto.

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Almacenamiento provisional de datos potencial

Descripción: este algoritmo compara las descargas de archivos distintos por usuario de la semana anterior con las descargas del día actual para cada usuario y se desencadena una anomalía cuando el número de descargas de archivos distintos supera el número configurado de desviaciones estándar por encima de la media. Actualmente, el algoritmo solo analiza los archivos que se ven normalmente durante la filtración de documentos, imágenes, vídeos y archivos con las extensiones doc, docx, xls, xlsx, xlsm, ppt, pptx, one, pdf, zip, rar, bmp, jpg, mp3, mp4 y mov.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registro de actividad de Office (Exchange)
Tácticas de MITRE ATT&CK: Collection
Técnicas de MITRE ATT&CK: T1074: datos almacenados provisionalmente

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Posible algoritmo de generación de dominios (DGA) en dominios DNS de siguiente nivel

Descripción: este modelo de Machine Learning indica los dominios de siguiente nivel (tercer nivel y superior) de los nombres de dominio del último día de los registros DNS que son inusuales. Podrían ser la salida de un algoritmo de generación de dominio (DGA). La anomalía se aplica a los registros DNS que se resuelven en direcciones IPv4 e IPv6.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Eventos DNS
Tácticas de MITRE ATT&CK: Comando y control
Técnicas de MITRE ATT&CK: T1568: resolución dinámica

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Cambio de geografía sospechoso en los inicios de sesión de la cuenta de Palo Alto GlobalProtect

Descripción: una coincidencia indica que un usuario ha iniciado sesión de forma remota desde un país o región diferente del país o región del último inicio de sesión remoto del usuario. Esta regla también puede indicar un riesgo de cuenta, especialmente si las coincidencias de reglas se produjeron estrechamente en el tiempo. Esto incluye el escenario de viaje imposible.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: CommonSecurityLog (VPN de PAN)
Tácticas de MITRE ATT&CK: Acceso inicial
Acceso con credenciales
Técnicas de MITRE ATT&CK: T1133- Servicios remotos externos
T1078: cuentas válidas

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Número sospechoso de documentos protegidos a los que se ha accedido

Descripción: este algoritmo detecta un gran volumen de acceso a documentos protegidos en los registros de Azure Information Protection (AIP). Considera los registros de carga de trabajo de AIP durante un número determinado de días y determina si el usuario ha realizado un acceso inusual a los documentos protegidos en un día dado el comportamiento histórico.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de Azure Information Protection
Tácticas de MITRE ATT&CK: Collection
Técnicas de MITRE ATT&CK: T1530: datos del objeto de almacenamiento en la nube
T1213: datos de repositorios de información
T1005: datos del sistema local
T1039: datos de la unidad compartida de red
T1114: colección de correo electrónico

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Volumen sospechoso de llamadas API de AWS desde la dirección IP de origen que no es de AWS

Descripción: este algoritmo detecta un volumen inusualmente elevado de llamadas API de AWS por cuenta de usuario por área de trabajo, desde direcciones IP de origen fuera de los intervalos IP de origen de AWS, en el último día. El modelo se entrena en los 21 días previos de los eventos de registro de AWS CloudTrail por dirección IP de origen. Esta actividad puede indicar que la cuenta de usuario está en peligro.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de AWS CloudTrail
Tácticas de MITRE ATT&CK: Acceso inicial
Técnicas de MITRE ATT&CK: T1078: cuentas válidas

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Volumen sospechoso de eventos de registro de AWS CloudTrail de la cuenta de usuario de grupo por EventTypeName

Descripción: este algoritmo detecta un volumen inusualmente elevado de eventos por cuenta de usuario de grupo, por diferentes tipos de eventos (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction), en el registro de AWS CloudTrail en el último día. El modelo se entrena en los 21 días previos al eventos de registro de AWS CloudTrail por cuenta de usuario de grupo. Esta actividad puede indicar que la cuenta está en peligro.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de AWS CloudTrail
Tácticas de MITRE ATT&CK: Acceso inicial
Técnicas de MITRE ATT&CK: T1078: cuentas válidas

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Volumen sospechoso de llamadas API de escritura de AWS desde una cuenta de usuario

Descripción: este algoritmo detecta un volumen inusualmente alto de llamadas API de escritura de AWS por cuenta de usuario en el último día. El modelo se entrena en los 21 días previos al eventos de registro de AWS CloudTrail por cuenta de usuario. Esta actividad puede indicar que la cuenta está en peligro.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de AWS CloudTrail
Tácticas de MITRE ATT&CK: Acceso inicial
Técnicas de MITRE ATT&CK: T1078: cuentas válidas

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Volumen sospechoso de intentos de inicio de sesión erróneos en la consola de AWS por cada cuenta de usuario de grupo

Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos en la consola de AWS por cuenta de usuario de grupo en el registro de AWS CloudTrail en el último día. El modelo se entrena en los 21 días previos al eventos de registro de AWS CloudTrail por cuenta de usuario de grupo. Esta actividad puede indicar que la cuenta está en peligro.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de AWS CloudTrail
Tácticas de MITRE ATT&CK: Acceso inicial
Técnicas de MITRE ATT&CK: T1078: cuentas válidas

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Volumen sospechoso de intentos de inicio de sesión erróneos en la consola de AWS por cada dirección IP de origen

Descripción: Este algoritmo detecta un volumen inusualmente alto de eventos de inicio de sesión con errores en la consola de AWS por dirección IP de origen en el registro de AWS CloudTrail en el último día. El modelo se entrena en los 21 días previos de los eventos de registro de AWS CloudTrail por dirección IP de origen. Esta actividad puede indicar que la dirección IP está en peligro.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de AWS CloudTrail
Tácticas de MITRE ATT&CK: Acceso inicial
Técnicas de MITRE ATT&CK: T1078: cuentas válidas

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Volumen sospechoso de inicios de sesión en el equipo

Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) por equipo durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de seguridad de Windows
Tácticas de MITRE ATT&CK: Acceso inicial
Técnicas de MITRE ATT&CK: T1078: cuentas válidas

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Volumen sospechoso de inicios de sesión en el equipo con un token con privilegios elevados

Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) con privilegios administrativos, por equipo, durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de seguridad de Windows
Tácticas de MITRE ATT&CK: Acceso inicial
Técnicas de MITRE ATT&CK: T1078: cuentas válidas

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Volumen sospechoso de inicios de sesión en la cuenta de usuario

Descripción: este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (identificador de evento de seguridad 4624) por equipo durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de seguridad de Windows
Tácticas de MITRE ATT&CK: Acceso inicial
Técnicas de MITRE ATT&CK: T1078: cuentas válidas

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Volumen sospechoso de inicios de sesión en la cuenta de usuario por tipos de inicio de sesión

Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) por cuenta de usuario, por diferentes tipos de inicio de sesión, durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de seguridad de Windows
Tácticas de MITRE ATT&CK: Acceso inicial
Técnicas de MITRE ATT&CK: T1078: cuentas válidas

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Volumen sospechoso de inicios de sesión en una cuenta de usuario con un token con privilegios elevados

Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) con privilegios administrativos, por cuenta de usuario, durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de seguridad de Windows
Tácticas de MITRE ATT&CK: Acceso inicial
Técnicas de MITRE ATT&CK: T1078: cuentas válidas

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Se detectó una alarma de firewall externa inusual

Descripción: Este algoritmo identifica alarmas de firewall externas inusuales que son firmas de amenazas publicadas por un proveedor de firewall. Usa las actividades de los últimos 7 días para calcular las 10 firmas más desencadenadas y los 10 hosts que desencadenaron la mayoría de las firmas. Después de excluir ambos tipos de eventos ruidosos, desencadena una anomalía solo después de superar el umbral del número de firmas desencadenadas en un solo día.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: CommonSecurityLog (PAN)
Tácticas de MITRE ATT&CK: Detección
Comando y control
Técnicas de MITRE ATT&CK: Detección:
T1046: examen de servicios de red
T1135: detección de recursos compartidos de red

Comando y control:
T1071: protocolo de capa de aplicación
T1095: protocolo de capa que no es de aplicación
T1571: puerto no estándar

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Etiqueta AIP de degradación masiva inusual

Descripción: Este algoritmo detecta un volumen inusualmente alto de actividad de etiquetas de degradación en los registros de Azure Information Protection (AIP). Considera los registros de carga de trabajo de "AIP" durante un número determinado de días y determina la secuencia de actividad realizada en los documentos junto con la etiqueta aplicada para clasificar un volumen inusual de actividad de degradación.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: Registros de Azure Information Protection
Tácticas de MITRE ATT&CK: Collection
Técnicas de MITRE ATT&CK: T1530: datos del objeto de almacenamiento en la nube
T1213: datos de repositorios de información
T1005: datos del sistema local
T1039: datos de la unidad compartida de red
T1114: colección de correo electrónico

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Comunicación de red inusual en puertos de uso frecuente

Descripción: Este algoritmo identifica la comunicación de red inusual en puertos usados habitualmente, comparando el tráfico diario con una línea base de los 7 días anteriores. Esto incluye el tráfico en puertos usados habitualmente (22, 53, 80, 443, 8080, 8888) y compara el tráfico diario con la desviación media y estándar de varios atributos de tráfico de red calculados durante el período de línea base. Los atributos de tráfico considerados son eventos totales diarios, transferencia de datos diaria y número de direcciones IP de origen distintas por puerto. Una anomalía se desencadena cuando los valores diarios son mayores que el número configurado de desviaciones estándar por encima de la media.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet)
Tácticas de MITRE ATT&CK: Comando y control
Exfiltración
Técnicas de MITRE ATT&CK: Comando y control:
T1071: protocolo de capa de aplicación

| Exfiltración:
T1030: límites de tamaño de transferencia de datos

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Anomalías de volumen de red inusuales

Descripción: este algoritmo detecta un volumen inusualmente elevado de conexiones en los registros de red. Usa series temporales para descomponer los datos en componentes estacionales, de tendencia y residuales para calcular la línea base. Cualquier desviación repentina de gran tamaño de la línea base histórica se considera una actividad anómala.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet)
Tácticas de MITRE ATT&CK: Exfiltración
Técnicas de MITRE ATT&CK: T1030: límites de tamaño de transferencia de datos

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Tráfico web inusual detectado con ip en la ruta de acceso de dirección URL

Descripción: este algoritmo identifica solicitudes web inusuales que enumeran una dirección IP como el host. El algoritmo busca todas las solicitudes web con direcciones IP en la ruta de acceso de la dirección URL y las compara con la semana anterior de datos para excluir el tráfico benigno conocido. Después de excluir el tráfico benigno conocido, desencadena una anomalía solo después de superar determinados umbrales con valores configurados, como solicitudes web totales, números de direcciones URL que se ven con la misma dirección IP de destino del host y el número de direcciones IP de origen distintas dentro del conjunto de direcciones URL con la misma dirección IP de destino. Este tipo de solicitud puede indicar un intento de omitir los servicios de reputación de dirección URL con fines malintencionados.

Atributo Valor
Tipo de anomalía: Aprendizaje automático personalizable
Orígenes de datos: CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet)
Tácticas de MITRE ATT&CK: Comando y control
Acceso inicial
Técnicas de MITRE ATT&CK: Comando y control:
T1071: protocolo de capa de aplicación

Acceso inicial:
T1189: compromiso oculto

Volver a la lista | de anomalías basadas en aprendizaje automático Volver a la parte superior

Pasos siguientes