Condividi tramite


Anomalie rilevate dal motore di Machine Learning di Microsoft Sentinel

Questo articolo elenca le anomalie rilevate da Microsoft Sentinel usando modelli di Machine Learning diversi.

Il rilevamento anomalie funziona analizzando il comportamento degli utenti in un ambiente in un periodo di tempo e creando una linea di base di attività legittime. Una volta stabilita la baseline, qualsiasi attività al di fuori dei parametri normali viene considerata anomale e pertanto sospetta.

Microsoft Sentinel usa due modelli diversi per creare linee di base e rilevare anomalie.

Nota

I rilevamenti anomalie seguenti vengono sospesi a partire dal 26 marzo 2024, a causa di una bassa qualità dei risultati:

  • Anomalia Domain Reputation Palo Alto
  • Accessi in più aree in un singolo giorno tramite Palo Alto GlobalProtect

Importante

Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Anomalie UEBA

UeBA di Sentinel rileva le anomalie in base alle baseline dinamiche create per ogni entità in diversi input di dati. Il comportamento di base di ogni entità viene impostato in base alle proprie attività cronologiche, a quelle dei peer e a quelle dell'intera organizzazione. Le anomalie possono essere attivate dalla correlazione di attributi diversi, ad esempio tipo di azione, posizione geografica, dispositivo, risorsa, ISP e altro ancora.

È necessario abilitare la funzionalità UEBA per rilevare le anomalie UEBA.

Rimozione dell'accesso all'account anomalo

Descrizione: un utente malintenzionato può interrompere la disponibilità delle risorse di sistema e di rete bloccando l'accesso agli account usati dagli utenti legittimi. L'utente malintenzionato potrebbe eliminare, bloccare o modificare un account (ad esempio modificandone le credenziali) per rimuovere l'accesso.

Attributo Valore
Tipo di anomalia: UEBA
Origini dati: Log attività di Azure
Tattiche MITRE ATT&CK: Impatto
Tecniche MITRE ATT&CK: T1531 - Rimozione dell'accesso all'account
Attività: Microsoft.Authorization/roleAssignments/delete
Disconnetti

Torna all'elenco | anomalie UEBA Torna all'inizio

Creazione di un account anomalo

Descrizione: gli avversari possono creare un account per mantenere l'accesso ai sistemi di destinazione. Con un livello di accesso sufficiente, la creazione di tali account può essere usata per stabilire l'accesso con credenziali secondarie senza richiedere la distribuzione di strumenti di accesso remoto permanenti nel sistema.

Attributo Valore
Tipo di anomalia: UEBA
Origini dati: Log di controllo di Microsoft Entra
Tattiche MITRE ATT&CK: Persistenza
Tecniche MITRE ATT&CK: T1136 - Creare un account
Tecniche secondarie MITRE ATT&CK: Cloud Account
Attività: Directory principale/UserManagement/Aggiungi utente

Torna all'elenco | anomalie UEBA Torna all'inizio

Eliminazione di un account anomalo

Descrizione: gli avversari possono interrompere la disponibilità delle risorse di sistema e di rete impedendo l'accesso agli account utilizzati da utenti legittimi. Gli account possono essere eliminati, bloccati o modificati (ad esempio, credenziali modificate) per rimuovere l'accesso agli account.

Attributo Valore
Tipo di anomalia: UEBA
Origini dati: Log di controllo di Microsoft Entra
Tattiche MITRE ATT&CK: Impatto
Tecniche MITRE ATT&CK: T1531 - Rimozione dell'accesso all'account
Attività: Directory principale/UtenteManagement/Elimina utente
Directory principale/Dispositivo/Elimina utente
Directory principale/UtenteManagement/Elimina utente

Torna all'elenco | anomalie UEBA Torna all'inizio

Manipolazione di account anomale

Descrizione: gli avversari possono modificare gli account per mantenere l'accesso ai sistemi di destinazione. Queste azioni includono l'aggiunta di nuovi account a gruppi con privilegi elevati. Dragonfly 2.0, ad esempio, ha aggiunto gli account appena creati al gruppo administrators per mantenere l'accesso con privilegi elevati. La query seguente genera un output di tutti gli utenti high-Blast Radius che eseguono "Aggiorna utente" (modifica del nome) al ruolo con privilegi o quelli che hanno modificato gli utenti per la prima volta.

Attributo Valore
Tipo di anomalia: UEBA
Origini dati: Log di controllo di Microsoft Entra
Tattiche MITRE ATT&CK: Persistenza
Tecniche MITRE ATT&CK: T1098 - Manipolazione dell'account
Attività: Directory principale/UtenteGestione/Aggiornamento utente

Torna all'elenco | anomalie UEBA Torna all'inizio

Esecuzione di codice anomalo (UEBA)

Descrizione: gli avversari possono abusare di interpreti di comandi e script per eseguire comandi, script o file binari. Queste interfacce e linguaggi forniscono modi per interagire con i sistemi informatici e sono una funzionalità comune in molte piattaforme diverse.

Attributo Valore
Tipo di anomalia: UEBA
Origini dati: Log attività di Azure
Tattiche MITRE ATT&CK: Esecuzione
Tecniche MITRE ATT&CK: T1059 - Interprete di comando e scripting
Tecniche secondarie MITRE ATT&CK: PowerShell
Attività: Microsoft.Compute/virtualMachines/runCommand/action

Torna all'elenco | anomalie UEBA Torna all'inizio

Distruzione di dati anomali

Descrizione: gli avversari possono distruggere i dati e i file in sistemi specifici o in numeri elevati in una rete per interrompere la disponibilità a sistemi, servizi e risorse di rete. È probabile che la distruzione dei dati esegua il rendering irreversibile dei dati archiviati tramite tecniche forensi tramite la sovrascrittura di file o dati su unità locali e remote.

Attributo Valore
Tipo di anomalia: UEBA
Origini dati: Log attività di Azure
Tattiche MITRE ATT&CK: Impatto
Tecniche MITRE ATT&CK: T1485 - Distruzione dei dati
Attività: Microsoft.Compute/disks/delete
Microsoft.Compute/galleries/images/delete
Microsoft.Compute/hostGroups/delete
Microsoft.Compute/hostGroups/hosts/delete
Microsoft.Compute/images/delete
Microsoft.Compute/virtualMachines/delete
Microsoft.Compute/virtualMachineScaleSets/delete
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete
Microsoft.Devices/digitalTwins/Delete
Microsoft.Devices/iotHubs/Delete
Microsoft.KeyVault/vaults/delete
Microsoft.Logic/integrationAccounts/delete
Microsoft.Logic/integrationAccounts/maps/delete
Microsoft.Logic/integrationAccounts/schemas/delete
Microsoft.Logic/integrationAccounts/partners/delete
Microsoft.Logic/integrationServiceEnvironments/delete
Microsoft.Logic/workflows/delete
Microsoft.Resources/subscriptions/resourceGroups/delete
Microsoft.Sql/instancePools/delete
Microsoft.Sql/managedInstances/delete
Microsoft.Sql/managedInstances/administrators/delete
Microsoft.Sql/managedInstances/databases/delete
Microsoft.Storage/storageAccounts/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete
Microsoft.Storage/storageAccounts/blobServices/containers/delete
Microsoft.AAD/domainServices/delete

Torna all'elenco | anomalie UEBA Torna all'inizio

Modifica del meccanismo difensivo anomalo

Descrizione: gli avversari possono disabilitare gli strumenti di sicurezza per evitare possibili rilevamenti degli strumenti e delle attività.

Attributo Valore
Tipo di anomalia: UEBA
Origini dati: Log attività di Azure
Tattiche MITRE ATT&CK: Evasione delle difese
Tecniche MITRE ATT&CK: T1562 - Difesa compromessa
Tecniche secondarie MITRE ATT&CK: Disabilitare o modificare gli strumenti
Disabilitare o modificare Il firewall cloud
Attività: Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete
Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete
Microsoft.Network/networkSecurityGroups/securityRules/delete
Microsoft.Network/networkSecurityGroups/delete
Microsoft.Network/ddosProtectionPlans/delete
Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete
Microsoft.Network/applicationSecurityGroups/delete
Microsoft.Authorization/policyAssignments/delete
Microsoft.Sql/servers/firewallRules/delete
Microsoft.Network/firewallPolicies/delete
Microsoft.Network/azurefirewalls/delete

Torna all'elenco | anomalie UEBA Torna all'inizio

Accesso anomalo non riuscito

Descrizione: gli avversari che non conoscino in precedenza delle credenziali legittime all'interno del sistema o dell'ambiente potrebbero indovinare le password per tentare l'accesso agli account.

Attributo Valore
Tipo di anomalia: UEBA
Origini dati: Log di accesso Microsoft Entra
log di Sicurezza di Windows
Tattiche MITRE ATT&CK: Accesso tramite credenziali
Tecniche MITRE ATT&CK: T1110 - Forza bruta
Attività: Microsoft Entra ID: attività di accesso
Sicurezza di Windows: Accesso non riuscito (ID evento 4625)

Torna all'elenco | anomalie UEBA Torna all'inizio

Reimpostazione password anomale

Descrizione: gli avversari possono interrompere la disponibilità delle risorse di sistema e di rete impedendo l'accesso agli account utilizzati da utenti legittimi. Gli account possono essere eliminati, bloccati o modificati (ad esempio, credenziali modificate) per rimuovere l'accesso agli account.

Attributo Valore
Tipo di anomalia: UEBA
Origini dati: Log di controllo di Microsoft Entra
Tattiche MITRE ATT&CK: Impatto
Tecniche MITRE ATT&CK: T1531 - Rimozione dell'accesso all'account
Attività: Directory principale/UserManagement/Reimpostazione password utente

Torna all'elenco | anomalie UEBA Torna all'inizio

Privilegi anomali concessi

Descrizione: gli avversari possono aggiungere credenziali controllate da avversari per le entità servizio di Azure oltre alle credenziali legittime esistenti per mantenere l'accesso permanente agli account Azure vittima.

Attributo Valore
Tipo di anomalia: UEBA
Origini dati: Log di controllo di Microsoft Entra
Tattiche MITRE ATT&CK: Persistenza
Tecniche MITRE ATT&CK: T1098 - Manipolazione dell'account
Tecniche secondarie MITRE ATT&CK: Credenziali aggiuntive dell'entità servizio di Azure
Attività: Provisioning dell'account/Gestione applicazioni/Aggiungere un'assegnazione di ruolo dell'app all'entità servizio

Torna all'elenco | anomalie UEBA Torna all'inizio

Accesso anomalo

Descrizione: gli avversari possono rubare le credenziali di un account utente o di servizio specifico usando tecniche di accesso alle credenziali o acquisire le credenziali in precedenza nel processo di ricognizione tramite ingegneria sociale per ottenere la persistenza.

Attributo Valore
Tipo di anomalia: UEBA
Origini dati: Log di accesso Microsoft Entra
log di Sicurezza di Windows
Tattiche MITRE ATT&CK: Persistenza
Tecniche MITRE ATT&CK: T1078 - Account validi
Attività: Microsoft Entra ID: attività di accesso
Sicurezza di Windows: Accesso riuscito (ID evento 4624)

Torna all'elenco | anomalie UEBA Torna all'inizio

Anomalie basate su Machine Learning

Le anomalie personalizzabili basate su Machine Learning di Microsoft Sentinel possono identificare un comportamento anomalo con i modelli di regole di analisi che possono essere messi a disposizione per funzionare immediatamente. Anche se le anomalie non indicano necessariamente comportamenti dannosi o addirittura sospetti da soli, possono essere usate per migliorare rilevamenti, indagini e ricerca di minacce.

Sessioni di accesso anomale di Microsoft Entra

Descrizione: il modello di Machine Learning raggruppa i log di accesso di Microsoft Entra in base all'utente. Il training del modello viene eseguito nei 6 giorni precedenti del comportamento di accesso dell'utente. Indica sessioni di accesso utente anomale nell'ultimo giorno.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: Log di accesso Microsoft Entra
Tattiche MITRE ATT&CK: Accesso iniziale
Tecniche MITRE ATT&CK: T1078 - Account validi
T1566 - Phishing
T1133 - Servizi remoti esterni

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Operazioni anomale di Azure

Descrizione: questo algoritmo di rilevamento raccoglie 21 giorni di dati sulle operazioni di Azure raggruppate per utente per eseguire il training di questo modello di Machine Learning. L'algoritmo genera quindi anomalie nel caso di utenti che hanno eseguito sequenze di operazioni non comuni nelle aree di lavoro. Il modello di Machine Learning sottoposto a training assegna un punteggio alle operazioni eseguite dall'utente e considera anomale quelle il cui punteggio è maggiore della soglia definita.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: Log attività di Azure
Tattiche MITRE ATT&CK: Accesso iniziale
Tecniche MITRE ATT&CK: T1190 - Exploit Public-Facing Application

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Esecuzione anomala del codice

Descrizione: gli utenti malintenzionati possono abusare di interpreti di comandi e script per eseguire comandi, script o file binari. Queste interfacce e linguaggi forniscono modi per interagire con i sistemi informatici e sono una funzionalità comune in molte piattaforme diverse.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: Log attività di Azure
Tattiche MITRE ATT&CK: Esecuzione
Tecniche MITRE ATT&CK: T1059 - Interprete di comando e scripting

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Creazione di un account locale anomalo

Descrizione: questo algoritmo rileva la creazione di account locali anomali nei sistemi Windows. Gli utenti malintenzionati possono creare account locali per mantenere l'accesso ai sistemi di destinazione. Questo algoritmo analizza l'attività di creazione dell'account locale nei 14 giorni precedenti dagli utenti. Cerca un'attività simile nel giorno corrente dagli utenti che non sono stati precedentemente visti nell'attività cronologica. È possibile specificare un elenco di elementi consentiti per filtrare gli utenti noti dall'attivazione di questa anomalia.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: log di Sicurezza di Windows
Tattiche MITRE ATT&CK: Persistenza
Tecniche MITRE ATT&CK: T1136 - Creare un account

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Attività di analisi anomale

Descrizione: questo algoritmo cerca l'attività di analisi delle porte, proveniente da un singolo indirizzo IP di origine a uno o più indirizzi IP di destinazione, che normalmente non viene visualizzato in un determinato ambiente.

L'algoritmo prende in considerazione se l'indirizzo IP è pubblico/esterno o privato/interno e l'evento viene contrassegnato di conseguenza. Attualmente viene considerata solo l'attività da privata a pubblica o pubblica a privata. L'attività di analisi può indicare un utente malintenzionato che tenta di determinare i servizi disponibili in un ambiente potenzialmente sfruttato e usato per l'ingresso o lo spostamento laterale. Un numero elevato di porte di origine e un numero elevato di porte di destinazione da un singolo INDIRIZZO IP di origine a un indirizzo IP o IP di destinazione singolo o a più indirizzi IP possono essere interessanti e indicare un'analisi anomala. Inoltre, se esiste un rapporto elevato tra gli INDIRIZZI IP di destinazione e l'INDIRIZZO IP di origine singolo, ciò può indicare un'analisi anomala.

Dettagli di configurazione:

  • Il valore predefinito dell'esecuzione del processo è giornaliero, con contenitori orari.
    L'algoritmo usa le impostazioni predefinite configurabili seguenti per limitare i risultati in base ai bin orari.
  • Azioni del dispositivo incluse: accettare, consentire, avviare
  • Porte escluse - 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
  • Numero di >porte di destinazione distinte = 600
  • Numero di >porte di origine distinte = 600
  • Numero di porte di origine distinte diviso per porta di destinazione distinta, rapporto convertito in percentuale >= 99,99
  • IP di origine (sempre 1) diviso per IP di destinazione, rapporto convertito in percentuale >= 99,99
Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet)
Tattiche MITRE ATT&CK: Individuazione
Tecniche MITRE ATT&CK: T1046 - Analisi del servizio di rete

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Attività utente anomale in Office Exchange

Descrizione: questo modello di Machine Learning raggruppa i log di Office Exchange su base utente in bucket orari. Definiamo un'ora come sessione. Il training del modello viene eseguito nei 7 giorni precedenti del comportamento in tutti gli utenti normali (non amministratori). Indica sessioni anomale di Office Exchange dell'utente nell'ultimo giorno.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: Log attività di Office (Exchange)
Tattiche MITRE ATT&CK: Persistenza
Raccolta
Tecniche MITRE ATT&CK: Collezione:
T1114 - Raccolta di messaggi di posta elettronica
T1213 - Dati dai repository di informazioni

Persistence:
T1098 - Manipolazione dell'account
T1136 - Creare un account
T1137 - Avvio dell'applicazione Office
T1505 - Componente software server

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Attività anomale di utenti/app nei log di controllo di Azure

Descrizione: questo algoritmo identifica le sessioni anomale utente/app di Azure nei log di controllo per l'ultimo giorno, in base al comportamento dei 21 giorni precedenti in tutti gli utenti e le app. L'algoritmo verifica la disponibilità di un volume di dati sufficiente prima del training del modello.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: Log di controllo di Microsoft Entra
Tattiche MITRE ATT&CK: Raccolta
Individuazione
Accesso iniziale
Persistenza
Escalation dei privilegi
Tecniche MITRE ATT&CK: Collezione:
T1530 - Dati dall'oggetto archiviazione cloud

Individuazione:
T1087 - Individuazione account
T1538 - Dashboard del servizio cloud
T1526 - Cloud Service Discovery
T1069 - Individuazione gruppi di autorizzazioni
T1518 - Individuazione software

Accesso iniziale:
T1190 - Exploit Public-Facing Application
T1078 - Account validi

Persistence:
T1098 - Manipolazione dell'account
T1136 - Creare un account
T1078 - Account validi

Escalation dei privilegi:
T1484 - Modifica dei criteri di dominio
T1078 - Account validi

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Attività dei log W3CIIS anomale

Descrizione: questo algoritmo di Machine Learning indica sessioni IIS anomale nell'ultimo giorno. Acquisisce, ad esempio, un numero insolitamente elevato di query URI distinte, agenti utente o log in una sessione o di verbi HTTP o stati HTTP specifici in una sessione. L'algoritmo identifica eventi W3CIISLog insoliti entro una sessione oraria, raggruppati per nome del sito e IP client. Il training del modello viene eseguito nei 7 giorni precedenti dell'attività IIS. L'algoritmo controlla un volume sufficiente di attività IIS prima di eseguire il training del modello.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: Log W3CIIS
Tattiche MITRE ATT&CK: Accesso iniziale
Persistenza
Tecniche MITRE ATT&CK: Accesso iniziale:
T1190 - Exploit Public-Facing Application

Persistence:
T1505 - Componente software server

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Attività di richiesta Web anomale

Descrizione: questo algoritmo raggruppa gli eventi W3CIISLog in sessioni orarie raggruppate in base al nome del sito e all'URI stem. Il modello di Machine Learning identifica le sessioni con numeri insolitamente elevati di richieste che hanno attivato codici di risposta di classe 5xx nell'ultimo giorno. I codici di classe 5xx indicano che alcune condizioni di instabilità o errore dell'applicazione sono state attivate dalla richiesta. Possono essere un'indicazione che un utente malintenzionato sta eseguendo il probe dell'URI per individuare vulnerabilità e problemi di configurazione, eseguendo alcune attività di sfruttamento, ad esempio SQL injection o sfruttando una vulnerabilità senza patch. Questo algoritmo usa 6 giorni di dati per il training.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: Log W3CIIS
Tattiche MITRE ATT&CK: Accesso iniziale
Persistenza
Tecniche MITRE ATT&CK: Accesso iniziale:
T1190 - Exploit Public-Facing Application

Persistence:
T1505 - Componente software server

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Tentativo di forza bruta del computer

Descrizione: questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per computer nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei registri eventi di sicurezza di Windows.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: log di Sicurezza di Windows
Tattiche MITRE ATT&CK: Accesso tramite credenziali
Tecniche MITRE ATT&CK: T1110 - Forza bruta

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Tentativo di forza bruta dell'account utente

Descrizione: questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per ogni account utente nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei registri eventi di sicurezza di Windows.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: log di Sicurezza di Windows
Tattiche MITRE ATT&CK: Accesso tramite credenziali
Tecniche MITRE ATT&CK: T1110 - Forza bruta

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Tentativo di forza bruta dell'account utente per tipo di accesso

Descrizione: questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per ogni account utente per tipo di accesso nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei registri eventi di sicurezza di Windows.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: log di Sicurezza di Windows
Tattiche MITRE ATT&CK: Accesso tramite credenziali
Tecniche MITRE ATT&CK: T1110 - Forza bruta

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Tentativo di forza bruta dell'account utente per ogni motivo di errore

Descrizione: questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per ogni account utente per ogni motivo di errore nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti dei registri eventi di sicurezza di Windows.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: log di Sicurezza di Windows
Tattiche MITRE ATT&CK: Accesso tramite credenziali
Tecniche MITRE ATT&CK: T1110 - Forza bruta

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Rilevare il comportamento di network beaconing generato dal computer

Descrizione: questo algoritmo identifica i modelli di beaconing dai log di connessione del traffico di rete in base a modelli differenziali temporali ricorrenti. Qualsiasi connessione di rete verso reti pubbliche non attendibili in delta temporali ripetitivi è un'indicazione di callback malware o tentativi di esfiltrazione di dati. L'algoritmo calcolerà il delta temporale tra le connessioni di rete consecutive tra lo stesso indirizzo IP di origine e l'INDIRIZZO IP di destinazione, nonché il numero di connessioni in una sequenza delta temporale tra le stesse origini e destinazioni. La percentuale di beaconing viene calcolata come connessioni nella sequenza delta temporale rispetto alle connessioni totali in un giorno.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: CommonSecurityLog (PAN)
Tattiche MITRE ATT&CK: Comando e controllo
Tecniche MITRE ATT&CK: T1071 - Protocollo livello applicazione
T1132 - Codifica dei dati
T1001 - Offuscamento dei dati
T1568 - Risoluzione dinamica
T1573 - Canale crittografato
T1008 - Canali di fallback
T1104 - Canali a più fasi
T1095 - Protocollo di livello non applicazione
T1571 - Porta non standard
T1572 - Tunneling del protocollo
T1090 - Proxy
T1205 - Segnalazione del traffico
T1102 - Servizio Web

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Algoritmo di generazione del dominio (DGA) nei domini DNS

Descrizione: questo modello di Machine Learning indica i potenziali domini DGA dell'ultimo giorno nei log DNS. L'algoritmo si applica ai record DNS che si risolvono in indirizzi IPv4 e IPv6.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: Eventi DNS
Tattiche MITRE ATT&CK: Comando e controllo
Tecniche MITRE ATT&CK: T1568 - Risoluzione dinamica

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Reputazione di dominio Palo Alto anomalia (DISCONTINUED)

Descrizione: questo algoritmo valuta la reputazione di tutti i domini visualizzati in modo specifico nei log del firewall Palo Alto (prodotto PAN-OS). Un punteggio di anomalia elevato indica una bassa reputazione, a indicare che il dominio è stato osservato per ospitare contenuto dannoso o è probabile che lo faccia.

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Anomalia di trasferimento eccessivo dei dati

Descrizione: questo algoritmo rileva un trasferimento di dati insolitamente elevato osservato nei log di rete. Usa serie temporali per scomporre i dati in componenti stagionali, di tendenza e residui per calcolare la baseline. Qualsiasi deviazione improvvisa di grandi dimensioni dalla baseline cronologica è considerata un'attività anomale.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet)
Tattiche MITRE ATT&CK: Esfiltrazione
Tecniche MITRE ATT&CK: T1030 - Limiti delle dimensioni del trasferimento dei dati
T1041 - Esfiltrazione su canale C2
T1011 - Esfiltrazione su altri supporti di rete
T1567 - Esfiltrazione su servizio Web
T1029 - Trasferimento pianificato
T1537 - Trasferire i dati nell'account cloud

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Download eccessivi tramite Palo Alto GlobalProtect

Descrizione: questo algoritmo rileva un volume insolitamente elevato di download per account utente tramite la soluzione VPN Palo Alto. Il training del modello viene eseguito nei 14 giorni precedenti dei log VPN. Indica un volume elevato anomalo di download nell'ultimo giorno.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: CommonSecurityLog (PAN VPN)
Tattiche MITRE ATT&CK: Esfiltrazione
Tecniche MITRE ATT&CK: T1030 - Limiti delle dimensioni del trasferimento dei dati
T1041 - Esfiltrazione su canale C2
T1011 - Esfiltrazione su altri supporti di rete
T1567 - Esfiltrazione su servizio Web
T1029 - Trasferimento pianificato
T1537 - Trasferire i dati nell'account cloud

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Caricamenti eccessivi tramite Palo Alto GlobalProtect

Descrizione: questo algoritmo rileva un volume insolitamente elevato di caricamento per account utente tramite la soluzione VPN Palo Alto. Il training del modello viene eseguito nei 14 giorni precedenti dei log VPN. Indica un volume elevato anomalo di caricamento nell'ultimo giorno.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: CommonSecurityLog (PAN VPN)
Tattiche MITRE ATT&CK: Esfiltrazione
Tecniche MITRE ATT&CK: T1030 - Limiti delle dimensioni del trasferimento dei dati
T1041 - Esfiltrazione su canale C2
T1011 - Esfiltrazione su altri supporti di rete
T1567 - Esfiltrazione su servizio Web
T1029 - Trasferimento pianificato
T1537 - Trasferire i dati nell'account cloud

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Accedere da un'area insolita tramite gli account di Palo Alto GlobalProtect

Descrizione: quando un account Palo Alto GlobalProtect accede da un'area di origine da cui raramente è stato eseguito l'accesso negli ultimi 14 giorni, viene attivata un'anomalia. Questa anomalia può indicare che l'account è stato compromesso.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: CommonSecurityLog (PAN VPN)
Tattiche MITRE ATT&CK: Accesso tramite credenziali
Accesso iniziale
Spostamento laterale
Tecniche MITRE ATT&CK: T1133 - Servizi remoti esterni

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Accessi in più aree in un singolo giorno tramite Palo Alto GlobalProtect (DISCONTINUED)

Descrizione: questo algoritmo rileva un account utente con accessi da più aree non adiacenti in un singolo giorno tramite una VPN Palo Alto.

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Gestione temporanea dei dati potenziale

Descrizione: questo algoritmo confronta i download di file distinti in base all'utente della settimana precedente con i download per il giorno corrente per ogni utente e un'anomalia viene attivata quando il numero di download di file distinti supera il numero configurato di deviazioni standard sopra la media. Attualmente l'algoritmo analizza solo i file comunemente visualizzati durante l'esfiltrazione di documenti, immagini, video e archivi con le estensioni doc, , pdfxlsxlsmpptxlsxpptxbmpziponedocxjpgmp3rar, , mp4e .mov

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: Log attività di Office (Exchange)
Tattiche MITRE ATT&CK: Raccolta
Tecniche MITRE ATT&CK: T1074 - Gestione temporanea dei dati

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Potenziale algoritmo di generazione di domini (DGA) nei domini DNS di livello successivo

Descrizione: questo modello di Machine Learning indica i domini di livello successivo (di terzo livello e superiore) dei nomi di dominio dell'ultimo giorno dei log DNS insoliti. Potrebbero potenzialmente essere l'output di un algoritmo di generazione di dominio ( DGA). L'anomalia si applica ai record DNS che si risolvono negli indirizzi IPv4 e IPv6.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: Eventi DNS
Tattiche MITRE ATT&CK: Comando e controllo
Tecniche MITRE ATT&CK: T1568 - Risoluzione dinamica

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Modifica geografica sospetta negli account di Palo Alto GlobalProtect

Descrizione: una corrispondenza indica che un utente ha eseguito l'accesso in remoto da un paese o un'area geografica diversa dal paese o dall'area geografica dell'ultimo account di accesso remoto dell'utente. Questa regola può anche indicare una compromissione dell'account, in particolare se la regola corrisponde strettamente nel tempo. Ciò include lo scenario di viaggio impossibile.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: CommonSecurityLog (PAN VPN)
Tattiche MITRE ATT&CK: Accesso iniziale
Accesso tramite credenziali
Tecniche MITRE ATT&CK: T1133 - Servizi remoti esterni
T1078 - Account validi

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Numero sospetto di documenti protetti a cui si accede

Descrizione: questo algoritmo rileva un volume elevato di accesso ai documenti protetti nei log di Azure Information Protection (AIP). Considera i record del carico di lavoro AIP per un determinato numero di giorni e determina se l'utente ha eseguito un accesso insolito ai documenti protetti in un determinato comportamento cronologico.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: Log di Azure Information Protection
Tattiche MITRE ATT&CK: Raccolta
Tecniche MITRE ATT&CK: T1530 - Dati dall'oggetto archiviazione cloud
T1213 - Dati dai repository di informazioni
T1005 - Dati dal sistema locale
T1039 - Dati dall'unità condivisa di rete
T1114 - Raccolta di messaggi di posta elettronica

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Volume sospetto di chiamate API AWS dall'indirizzo IP di origine non AWS

Descrizione: questo algoritmo rileva un volume insolitamente elevato di chiamate API AWS per ogni account utente per area di lavoro, dagli indirizzi IP di origine all'esterno degli intervalli IP di origine di AWS nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti degli eventi di log di AWS CloudTrail in base all'indirizzo IP di origine. Questa attività può indicare che l'account utente è compromesso.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: Log di AWS CloudTrail
Tattiche MITRE ATT&CK: Accesso iniziale
Tecniche MITRE ATT&CK: T1078 - Account validi

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Volume sospetto degli eventi di log di AWS CloudTrail dell'account utente del gruppo da EventTypeName

Descrizione: questo algoritmo rileva un volume insolitamente elevato di eventi per account utente del gruppo, in base a diversi tipi di evento (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction), nel log di AWS CloudTrail nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti degli eventi di log di AWS CloudTrail in base all'account utente del gruppo. Questa attività può indicare che l'account è compromesso.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: Log di AWS CloudTrail
Tattiche MITRE ATT&CK: Accesso iniziale
Tecniche MITRE ATT&CK: T1078 - Account validi

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Volume sospetto di chiamate API di scrittura AWS da un account utente

Descrizione: questo algoritmo rileva un volume insolitamente elevato di chiamate API di scrittura AWS per account utente nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti degli eventi di log di AWS CloudTrail in base all'account utente. Questa attività può indicare che l'account è compromesso.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: Log di AWS CloudTrail
Tattiche MITRE ATT&CK: Accesso iniziale
Tecniche MITRE ATT&CK: T1078 - Account validi

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Volume sospetto di tentativi di accesso non riusciti a AWS Console da ogni account utente del gruppo

Descrizione: questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti a AWS Console per ogni account utente del gruppo nel log di AWS CloudTrail nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti degli eventi di log di AWS CloudTrail in base all'account utente del gruppo. Questa attività può indicare che l'account è compromesso.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: Log di AWS CloudTrail
Tattiche MITRE ATT&CK: Accesso iniziale
Tecniche MITRE ATT&CK: T1078 - Account validi

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Volume sospetto di tentativi di accesso non riusciti a AWS Console da ogni indirizzo IP di origine

Descrizione: questo algoritmo rileva un volume insolitamente elevato di eventi di accesso non riusciti a AWS Console per ogni indirizzo IP di origine nel log di AWS CloudTrail nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti degli eventi di log di AWS CloudTrail in base all'indirizzo IP di origine. Questa attività può indicare che l'indirizzo IP è compromesso.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: Log di AWS CloudTrail
Tattiche MITRE ATT&CK: Accesso iniziale
Tecniche MITRE ATT&CK: T1078 - Account validi

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Volume sospetto di account di accesso al computer

Descrizione: questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) per computer nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Sicurezza di Windows registri eventi.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: log di Sicurezza di Windows
Tattiche MITRE ATT&CK: Accesso iniziale
Tecniche MITRE ATT&CK: T1078 - Account validi

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Volume sospetto di account di accesso al computer con token con privilegi elevati

Descrizione: questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) con privilegi amministrativi, per computer, nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Sicurezza di Windows registri eventi.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: log di Sicurezza di Windows
Tattiche MITRE ATT&CK: Accesso iniziale
Tecniche MITRE ATT&CK: T1078 - Account validi

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Volume sospetto di account di accesso all'account utente

Descrizione: questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) per ogni account utente nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Sicurezza di Windows registri eventi.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: log di Sicurezza di Windows
Tattiche MITRE ATT&CK: Accesso iniziale
Tecniche MITRE ATT&CK: T1078 - Account validi

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Volume sospetto di account di accesso all'account utente in base ai tipi di accesso

Descrizione: questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) per account utente, per tipi di accesso diversi, nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Sicurezza di Windows registri eventi.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: log di Sicurezza di Windows
Tattiche MITRE ATT&CK: Accesso iniziale
Tecniche MITRE ATT&CK: T1078 - Account validi

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Volume sospetto di account di accesso all'account utente con token con privilegi elevati

Descrizione: questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) con privilegi amministrativi, per account utente, nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Sicurezza di Windows registri eventi.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: log di Sicurezza di Windows
Tattiche MITRE ATT&CK: Accesso iniziale
Tecniche MITRE ATT&CK: T1078 - Account validi

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Rilevato allarme anomalo del firewall esterno

Descrizione: questo algoritmo identifica avvisi insoliti del firewall esterno che sono firme di minacce rilasciate da un fornitore del firewall. Usa le attività degli ultimi 7 giorni per calcolare le 10 firme più attivate e i 10 host che hanno attivato la maggior parte delle firme. Dopo aver escluso entrambi i tipi di eventi rumorosi, attiva un'anomalia solo dopo aver superato la soglia per il numero di firme attivate in un singolo giorno.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: CommonSecurityLog (PAN)
Tattiche MITRE ATT&CK: Individuazione
Comando e controllo
Tecniche MITRE ATT&CK: Individuazione:
T1046 - Analisi del servizio di rete
T1135 - Individuazione condivisione di rete

Comando e controllo:
T1071 - Protocollo livello applicazione
T1095 - Protocollo di livello non applicazione
T1571 - Porta non standard

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Etichetta AIP di downgrade di massa insolita

Descrizione: questo algoritmo rileva un volume insolitamente elevato di attività di downgrade delle etichette nei log di Azure Information Protection (AIP). Considera i record del carico di lavoro "AIP" per un determinato numero di giorni e determina la sequenza di attività eseguita sui documenti insieme all'etichetta applicata per classificare un volume insolito di attività di downgrade.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: Log di Azure Information Protection
Tattiche MITRE ATT&CK: Raccolta
Tecniche MITRE ATT&CK: T1530 - Dati dall'oggetto archiviazione cloud
T1213 - Dati dai repository di informazioni
T1005 - Dati dal sistema locale
T1039 - Dati dall'unità condivisa di rete
T1114 - Raccolta di messaggi di posta elettronica

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Comunicazione di rete insolita su porte di uso comune

Descrizione: questo algoritmo identifica le comunicazioni di rete insolite sulle porte comunemente usate, confrontando il traffico giornaliero con una baseline dei 7 giorni precedenti. Ciò include il traffico sulle porte usate comunemente (22, 53, 80, 443, 8080, 8888) e confronta il traffico giornaliero con la media e la deviazione standard di diversi attributi del traffico di rete calcolati nel periodo di base. Gli attributi del traffico considerati sono eventi totali giornalieri, trasferimento giornaliero dei dati e numero di indirizzi IP di origine distinti per porta. Un'anomalia viene attivata quando i valori giornalieri sono maggiori del numero configurato di deviazioni standard sopra la media.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet)
Tattiche MITRE ATT&CK: Comando e controllo
Esfiltrazione
Tecniche MITRE ATT&CK: Comando e controllo:
T1071 - Protocollo livello applicazione

Esfiltrazione:
T1030 - Limiti delle dimensioni del trasferimento dei dati

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Anomalia del volume di rete

Descrizione: questo algoritmo rileva un volume insolitamente elevato di connessioni nei log di rete. Usa serie temporali per scomporre i dati in componenti stagionali, di tendenza e residui per calcolare la baseline. Qualsiasi deviazione improvvisa di grandi dimensioni dalla baseline cronologica viene considerata come un'attività anomale.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet)
Tattiche MITRE ATT&CK: Esfiltrazione
Tecniche MITRE ATT&CK: T1030 - Limiti delle dimensioni del trasferimento dei dati

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Traffico Web insolito rilevato con IP nel percorso URL

Descrizione: questo algoritmo identifica richieste Web insolite che elencano un indirizzo IP come host. L'algoritmo trova tutte le richieste Web con indirizzi IP nel percorso URL e le confronta con la settimana precedente di dati per escludere il traffico non dannoso noto. Dopo aver escluso il traffico non dannoso noto, attiva un'anomalia solo dopo aver superato determinate soglie con valori configurati, ad esempio richieste Web totali, numeri di URL visualizzati con lo stesso indirizzo IP di destinazione host e numero di INDIRIZZI DI origine distinti all'interno del set di URL con lo stesso indirizzo IP di destinazione. Questo tipo di richiesta può indicare un tentativo di ignorare i servizi di reputazione URL per scopi dannosi.

Attributo Valore
Tipo di anomalia: Machine Learning personalizzabile
Origini dati: CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet)
Tattiche MITRE ATT&CK: Comando e controllo
Accesso iniziale
Tecniche MITRE ATT&CK: Comando e controllo:
T1071 - Protocollo livello applicazione

Accesso iniziale:
T1189 - Drive-by Compromise

Torna all'elenco | anomalie basate su Machine Learning Torna all'inizio

Passaggi successivi