다음을 통해 공유


Microsoft Sentinel 기계 학습 엔진에서 검색하는 변칙

이 문서에서는 Microsoft Sentinel이 다양한 기계 학습 모델을 사용하여 검색하는 변칙을 나열합니다.

변칙 검색은 일정 기간 동안 환경에서 사용자의 행동을 분석하고 합법적인 작업의 기준을 생성하는 방식으로 작동합니다. 기준이 설정되면 정상적인 매개 변수를 벗어난 모든 작업이 비정상적이며 의심스러운 것으로 간주됩니다.

Microsoft Sentinel은 두 가지 모델을 사용하여 기준을 만들고 변칙을 검색합니다.

참고 항목

다음 이상 탐지는 결과 품질이 낮아 2024년 3월 26일부터 중단됩니다.

  • 도메인 평판 Palo Alto 변칙
  • Palo Alto GlobalProtect를 통해 하루에 다중 지역 로그인

Important

Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

UEBA 변칙

Sentinel UEBA는 다양한 데이터 입력에서 각 엔터티에 대해 생성된 동적 기준을 기반으로 변칙을 검색합니다. 각 엔터티의 기준 동작은 자체 기록 활동, 해당 피어 및 조직 전체에 따라 설정됩니다. 동작 유형, 지리적 위치, 디바이스, 리소스, ISP 등과 같은 다양한 특성의 상관 관계를 통해 변칙을 트리거할 수 있습니다.

UEBA 변칙이 검색되려면 UEBA 기능을 사용하도록 설정해야 합니다.

비정상적인 계정 액세스 권한 제거

설명: 공격자는 합법적인 사용자가 사용하는 계정에 대한 액세스를 차단하여 시스템 및 네트워크 리소스의 가용성을 방해할 수 있습니다. 공격자는 계정 삭제, 잠금 또는 조작(예: 자격 증명 변경)을 수행하여 액세스 권한을 제거할 수 있습니다.

attribute
변칙 유형: UEBA
데이터 원본: Azure 활동 로그
MITRE ATT&CK 전술: 영향
MITRE ATT&CK 기술: T1531 - 계정 액세스 권한 제거
활동: Microsoft.Authorization/roleAssignments/delete
로그아웃

UEBA 변칙 목록 | 맨 위로 돌아가기

비정상적인 계정 만들기

설명: 악의적 사용자는 대상 시스템에 대한 액세스를 유지하기 위해 계정을 만들 수 있습니다. 충분한 수준의 액세스 권한이 있으면 시스템에 영구 원격 액세스 도구를 배포할 필요 없이 이러한 계정 만들기 작업을 통해 보조 자격 증명 액세스를 설정할 수 있습니다.

attribute
변칙 유형: UEBA
데이터 원본: Microsoft Entra 감사 로그
MITRE ATT&CK 전술: 지속성
MITRE ATT&CK 기술: T1136 - 계정 만들기
MITRE ATT&CK 하위 기술: 클라우드 계정
활동: 핵심 디렉터리/UserManagement/사용자 추가

UEBA 변칙 목록 | 맨 위로 돌아가기

비정상적인 계정 삭제

설명: 악의적 사용자가 합법적인 사용자가 활용하는 계정에 대한 액세스를 금지하여 시스템 및 네트워크 리소스의 가용성을 방해할 수 있습니다. 계정에 대한 액세스 권한을 제거하기 위해 계정 삭제, 잠금 또는 조작(예: 자격 증명 변경)이 수행될 수 있습니다.

attribute
변칙 유형: UEBA
데이터 원본: Microsoft Entra 감사 로그
MITRE ATT&CK 전술: 영향
MITRE ATT&CK 기술: T1531 - 계정 액세스 권한 제거
활동: 핵심 디렉터리/UserManagement/사용자 삭제
핵심 디렉터리/디바이스/사용자 삭제
핵심 디렉터리/UserManagement/사용자 삭제

UEBA 변칙 목록 | 맨 위로 돌아가기

비정상적인 계정 조작

설명: 악의적 사용자는 대상 시스템에 대한 액세스를 유지하기 위해 계정을 조작할 수 있습니다. 이러한 작업에는 권한이 높은 그룹에 새 계정을 추가하는 작업이 포함됩니다. 예를 들어 Dragonfly 2.0은 상승된 권한을 유지하기 위해 새로 만든 계정을 관리자 그룹에 추가합니다. 아래 쿼리는 권한 있는 역할에 대해 "사용자 업데이트"(이름 변경)를 수행하는 모든 고폭발 반지름 사용자 또는 처음으로 사용자를 변경한 사용자의 출력을 생성합니다.

attribute
변칙 유형: UEBA
데이터 원본: Microsoft Entra 감사 로그
MITRE ATT&CK 전술: 지속성
MITRE ATT&CK 기술: T1098 - 계정 조작
활동: 핵심 디렉터리/UserManagement/사용자 업데이트

UEBA 변칙 목록 | 맨 위로 돌아가기

비정상적인 코드 실행(UEBA)

설명: 악의적 사용자는 명령, 스크립트 또는 이진 파일을 실행하기 위해 명령 및 스크립트 인터프리터를 남용할 수 있습니다. 이러한 인터페이스 및 언어는 컴퓨터 시스템과 상호 작용하는 방법을 제공하며 다양한 플랫폼에서 공통적인 기능입니다.

attribute
변칙 유형: UEBA
데이터 원본: Azure 활동 로그
MITRE ATT&CK 전술: 실행
MITRE ATT&CK 기술: T1059 - 명령 및 스크립팅 인터프리터
MITRE ATT&CK 하위 기술: PowerShell
활동: Microsoft.Compute/virtualMachines/runCommand/action

UEBA 변칙 목록 | 맨 위로 돌아가기

비정상적인 데이터 파기

설명: 악의적 사용자는 시스템, 서비스 및 네트워크 리소스에 대한 가용성을 중단하기 위해 네트워크에 있는 다수의 시스템 또는 특정 시스템의 데이터 및 파일을 파기할 수 있습니다. 데이터 파기는 로컬 및 원격 드라이브에서 파일 또는 데이터를 덮어쓰는 방법을 통해 포렌식 기술로 저장된 데이터를 복구할 수 없게 만들 수 있습니다.

attribute
변칙 유형: UEBA
데이터 원본: Azure 활동 로그
MITRE ATT&CK 전술: 영향
MITRE ATT&CK 기술: T1485 - 데이터 파기
활동: Microsoft.Compute/disks/delete
Microsoft.Compute/galleries/images/delete
Microsoft.Compute/hostGroups/delete
Microsoft.Compute/hostGroups/hosts/delete
Microsoft.Compute/images/delete
Microsoft.Compute/virtualMachines/delete
Microsoft.Compute/virtualMachineScaleSets/delete
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete
Microsoft.Devices/digitalTwins/Delete
Microsoft.Devices/iotHubs/Delete
Microsoft.KeyVault/vaults/delete
Microsoft.Logic/integrationAccounts/delete
Microsoft.Logic/integrationAccounts/maps/delete
Microsoft.Logic/integrationAccounts/schemas/delete
Microsoft.Logic/integrationAccounts/partners/delete
Microsoft.Logic/integrationServiceEnvironments/delete
Microsoft.Logic/workflows/delete
Microsoft.Resources/subscriptions/resourceGroups/delete
Microsoft.Sql/instancePools/delete
Microsoft.Sql/managedInstances/delete
Microsoft.Sql/managedInstances/administrators/delete
Microsoft.Sql/managedInstances/databases/delete
Microsoft.Storage/storageAccounts/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete
Microsoft.Storage/storageAccounts/blobServices/containers/delete
Microsoft.AAD/domainServices/delete

UEBA 변칙 목록 | 맨 위로 돌아가기

비정상적인 방어 메커니즘 수정

설명: 악의적 사용자는 보안 도구를 사용하지 않도록 설정하여 도구 및 작업을 검색하지 못하게 할 수 있습니다.

attribute
변칙 유형: UEBA
데이터 원본: Azure 활동 로그
MITRE ATT&CK 전술: 방어 회피
MITRE ATT&CK 기술: T1562 - 방어 장애
MITRE ATT&CK 하위 기술: 도구 비활성화 또는 수정
클라우드 방화벽 비활성화 또는 수정
활동: Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete
Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete
Microsoft.Network/networkSecurityGroups/securityRules/delete
Microsoft.Network/networkSecurityGroups/delete
Microsoft.Network/ddosProtectionPlans/delete
Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete
Microsoft.Network/applicationSecurityGroups/delete
Microsoft.Authorization/policyAssignments/delete
Microsoft.Sql/servers/firewallRules/delete
Microsoft.Network/firewallPolicies/delete
Microsoft.Network/azurefirewalls/delete

UEBA 변칙 목록 | 맨 위로 돌아가기

비정상적인 로그인 실패

설명: 시스템 또는 환경 내에서 합법적인 자격 증명에 대한 사전 지식이 없는 악의적 사용자는 계정에 대한 액세스를 시도하기 위해 암호를 추측할 수 있습니다.

attribute
변칙 유형: UEBA
데이터 원본: Microsoft Entra 로그인 로그
Windows 보안 로그
MITRE ATT&CK 전술: 자격 증명 액세스
MITRE ATT&CK 기술: T1110 - 무차별 암호 대입
활동: Microsoft Entra ID: 로그인 활동
Windows 보안: 로그인 실패(이벤트 ID 4625)

UEBA 변칙 목록 | 맨 위로 돌아가기

비정상적인 암호 재설정

설명: 악의적 사용자가 합법적인 사용자가 활용하는 계정에 대한 액세스를 금지하여 시스템 및 네트워크 리소스의 가용성을 방해할 수 있습니다. 계정에 대한 액세스 권한을 제거하기 위해 계정 삭제, 잠금 또는 조작(예: 자격 증명 변경)이 수행될 수 있습니다.

attribute
변칙 유형: UEBA
데이터 원본: Microsoft Entra 감사 로그
MITRE ATT&CK 전술: 영향
MITRE ATT&CK 기술: T1531 - 계정 액세스 권한 제거
활동: 핵심 디렉터리/UserManagement/사용자 암호 재설정

UEBA 변칙 목록 | 맨 위로 돌아가기

비정상적인 권한 부여

설명: 악의적 사용자는 기존의 합법적인 자격 증명 외에도 Azure 서비스 주체에 대해 악의적으로 제어되는 자격 증명을 추가하여 희생자 Azure 계정에 대한 지속적인 액세스를 유지할 수 있습니다.

attribute
변칙 유형: UEBA
데이터 원본: Microsoft Entra 감사 로그
MITRE ATT&CK 전술: 지속성
MITRE ATT&CK 기술: T1098 - 계정 조작
MITRE ATT&CK 하위 기술: 추가 Azure 서비스 주체 자격 증명
활동: 계정 프로비전/애플리케이션 관리/서비스 주체에 앱 역할 할당 추가

UEBA 변칙 목록 | 맨 위로 돌아가기

비정상적인 로그인

설명: 악의적 사용자는 자격 증명 액세스 기술을 사용하여 특정 사용자 또는 서비스 계정의 자격 증명을 도용하거나, 지속성을 얻기 위해 소셜 엔지니어링을 통해 정찰 프로세스 초기에 자격 증명을 캡처할 수 있습니다.

attribute
변칙 유형: UEBA
데이터 원본: Microsoft Entra 로그인 로그
Windows 보안 로그
MITRE ATT&CK 전술: 지속성
MITRE ATT&CK 기술: T1078 - 유효한 계정
활동: Microsoft Entra ID: 로그인 활동
Windows 보안: 성공적인 로그인(이벤트 ID 4624)

UEBA 변칙 목록 | 맨 위로 돌아가기

기계 학습 기반 변칙

Microsoft Sentinel의 사용자 지정 가능한 기계 학습 기반 변칙은 즉시 작동하도록 배치할 수 있는 분석 규칙 템플릿을 사용하여 비정상적인 동작을 식별할 수 있습니다. 변칙은 악의적이거나 심지어 의심스러운 행동을 의미하지는 않지만 검색, 조사 및 위협 검색을 개선하는 데 사용할 수 있습니다.

비정상적인 Microsoft Entra 로그인 세션

설명: 기계 학습 모델은 사용자별로 Microsoft Entra 로그인 로그를 그룹화합니다. 이 모델에는 이전 6일간의 사용자 로그인 행동이 학습됩니다. 이는 과거의 비정상적인 사용자 로그인 세션을 나타냅니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: Microsoft Entra 로그인 로그
MITRE ATT&CK 전술: Initial Access
MITRE ATT&CK 기술: T1078 - 유효한 계정
T1566 - 피싱
T1133 - 외부 원격 서비스

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

비정상적인 Azure 작업

설명: 이 검색 알고리즘은 이 ML 모델을 학습시키기 위해 사용자가 그룹화한 Azure 작업에 대해 21일 분량의 데이터를 수집합니다. 그리고 작업 영역에서 일반적이지 않은 작업의 시퀀스를 수행한 사용자의 경우 변칙을 생성합니다. 학습된 ML 모델은 사용자가 수행한 작업에 점수를 매기고, 점수가 정의된 임계값보다 크면 비정상으로 간주합니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: Azure 활동 로그
MITRE ATT&CK 전술: Initial Access
MITRE ATT&CK 기술: T1190 - 공용 애플리케이션 악용

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

비정상적인 코드 실행

설명: 공격자는 명령, 스크립트 또는 이진 파일을 실행하기 위해 명령 및 스크립트 인터프리터를 남용할 수 있습니다. 이러한 인터페이스 및 언어는 컴퓨터 시스템과 상호 작용하는 방법을 제공하며 다양한 플랫폼에서 공통적인 기능입니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: Azure 활동 로그
MITRE ATT&CK 전술: 실행
MITRE ATT&CK 기술: T1059 - 명령 및 스크립팅 인터프리터

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

비정상적인 로컬 계정 만들기

설명: 이 알고리즘은 Windows 시스템에서 비정상적인 로컬 계정 생성을 검색합니다. 공격자는 대상 시스템에 대한 액세스를 유지하기 위해 로컬 계정을 만들 수 있습니다. 이 알고리즘은 지난 14일 동안 사용자의 로컬 계정 만들기 작업을 분석합니다. 현재 날짜에서 이전 작업 기록에 표시되지 않는 사용자의 유사한 작업을 찾습니다. 허용 목록을 지정하여 알려진 사용자가 이 변칙을 트리거하지 않도록 필터링할 수 있습니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: Windows 보안 로그
MITRE ATT&CK 전술: 지속성
MITRE ATT&CK 기술: T1136 - 계정 만들기

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

비정상적인 검사 작업

설명: 이 알고리즘은 지정된 환경에서 일반적으로 볼 수 없는 단일 원본 IP에서 하나 이상의 대상 IP로 오는 포트 검색 작업을 찾습니다.

이 알고리즘은 IP가 공용/외부인지 개인/내부인지를 고려하며, 이에 따라 이벤트가 표시됩니다. 현재는 개인-공용 또는 공용-개인 작업만 고려됩니다. 검사 작업은 공격자가 잠재적으로 악용되어 수신 또는 횡적 이동에 사용될 수 있는 환경에서 사용 가능한 서비스를 확인하려고 시도했음을 나타낼 수 있습니다. 원본 포트 수가 많고 단일 원본 IP에서 단일 또는 여러 대상 IP로의 대상 포트 수가 많은 경우 흥미로울 수 있으며 비정상적인 검사를 나타낼 수 있습니다. 또한 단일 원본 IP 대비 대상 IP 비율이 높은 경우 비정상적인 검사를 나타낼 수 있습니다.

구성 세부 정보

  • 작업 실행 기본값은 매일이며 시간별 계급구간을 사용합니다.
    알고리즘은 다음과 같은 구성 가능한 기본값을 사용하여 시간별 계급구간에 따라 결과를 제한합니다.
  • 포함된 디바이스 작업 - 수락, 허용, 시작
  • 제외된 포트 - 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
  • 고유 대상 포트 수 >= 600
  • 고유 원본 포트 수 >= 600
  • 고유 원본 포트 수를 고유 대상 포트로 나눈 값의 백분율 >= 99.99
  • 원본 IP(항상 1)를 대상 IP로 나눈 값의 백분율 >= 99.99
attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: CommonSecurityLog(PAN, Zscaler, CEF, CheckPoint, Fortinet)
MITRE ATT&CK 전술: 발견(Discovery)
MITRE ATT&CK 기술: T1046 - 네트워크 서비스 검사

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

Office Exchange의 비정상적인 사용자 활동

설명: 이 기계 학습 모델은 사용자별로 Office Exchange 로그를 시간별 버킷으로 그룹화합니다. 1시간을 세션으로 정의합니다. 모델에는 모든 일반(관리자가 아닌) 사용자의 이전 7일 동안의 행동이 학습됩니다. 과거의 비정상적인 사용자 Office Exchange 세션을 나타냅니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: Office 활동 로그(Exchange)
MITRE ATT&CK 전술: 지속성
컬렉션
MITRE ATT&CK 기술: 수집:
T1114 - 이메일 수집
T1213 - 정보 리포지토리의 데이터

지속성:
T1098 - 계정 조작
T1136 - 계정 만들기
T1137 - Office 애플리케이션 시작
T1505 - 서버 소프트웨어 구성 요소

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

Azure 감사 로그의 비정상적인 사용자/앱 활동

설명: 이 알고리즘은 모든 사용자 및 앱에서 이전 21일의 행동을 기반으로 과거의 감사 로그에서 비정상적인 사용자/앱 Azure 세션을 식별합니다. 알고리즘은 모델을 학습하기 전에 충분한 양의 데이터를 확인합니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: Microsoft Entra 감사 로그
MITRE ATT&CK 전술: 컬렉션
검색
Initial Access
지속성
권한 상승
MITRE ATT&CK 기술: 수집:
T1530 - 클라우드 저장소 개체의 데이터

검색:
T1087 - 계정 검색
T1538 - 클라우드 서비스 대시보드
T1526 - 클라우드 서비스 검색
T1069 - 사용 권한 그룹 검색
T1518 - 소프트웨어 검색

초기 액세스:
T1190 - 공용 애플리케이션 악용
T1078 - 유효한 계정

지속성:
T1098 - 계정 조작
T1136 - 계정 만들기
T1078 - 유효한 계정

권한 상승:
T1484 - 도메인 정책 수정
T1078 - 유효한 계정

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

비정상적인 W3CIIS 로그 작업

설명: 이 기계 학습 알고리즘은 과거의 비정상적인 IIS 세션을 나타냅니다. 예를 들어 세션의 고유 URI 쿼리, 사용자 에이전트, 로그 또는 세션의 특정 HTTP 동사 또는 HTTP 상태를 비정상적으로 많이 캡처합니다. 알고리즘은 사이트 이름 및 클라이언트 IP별로 그룹화된 시간별 세션 내에서 비정상적인 W3CIISLog 이벤트를 식별합니다. 이 모델에는 이전 7일간의 IIS 작업이 학습됩니다. 알고리즘은 모델을 학습하기 전에 충분한 양의 IIS 작업을 확인합니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: W3CIIS 로그
MITRE ATT&CK 전술: Initial Access
지속성
MITRE ATT&CK 기술: 초기 액세스:
T1190 - 공용 애플리케이션 악용

지속성:
T1505 - 서버 소프트웨어 구성 요소

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

비정상적인 웹 요청 작업

설명: 이 알고리즘은 W3CIISLog 이벤트를 사이트 이름 및 URI 스템별로 그룹화된 시간별 세션으로 그룹화합니다. 기계 학습 모델은 과거에 5xx 클래스 응답 코드를 트리거한 요청 수가 비정상적으로 많은 세션을 식별합니다. 5xx 클래스 코드는 요청에 의해 일부 애플리케이션 불안정성 또는 오류 조건이 트리거되었음을 나타냅니다. 이는 공격자가 URI 스템에서 취약성 및 구성 문제를 검색하거나, SQL 주입과 같은 일부 악용 작업을 수행하거나, 패치되지 않은 취약성을 활용하고 있음을 나타낼 수 있습니다. 이 알고리즘은 학습에 6일간의 데이터를 사용합니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: W3CIIS 로그
MITRE ATT&CK 전술: Initial Access
지속성
MITRE ATT&CK 기술: 초기 액세스:
T1190 - 공용 애플리케이션 악용

지속성:
T1505 - 서버 소프트웨어 구성 요소

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

컴퓨터 무차별 암호 대입 시도

설명: 이 알고리즘은 과거에 컴퓨터당 비정상적으로 많은 양의 실패한 로그인 시도(보안 이벤트 ID 4625)를 검색합니다. 이 모델에는 이전 21일간의 Windows 보안 이벤트 로그가 학습됩니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: Windows 보안 로그
MITRE ATT&CK 전술: 자격 증명 액세스
MITRE ATT&CK 기술: T1110 - 무차별 암호 대입

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

사용자 계정 무차별 암호 대입 시도

설명: 이 알고리즘은 과거에 사용자 계정당 비정상적으로 많은 양의 실패한 로그인 시도(보안 이벤트 ID 4625)를 검색합니다. 이 모델에는 이전 21일간의 Windows 보안 이벤트 로그가 학습됩니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: Windows 보안 로그
MITRE ATT&CK 전술: 자격 증명 액세스
MITRE ATT&CK 기술: T1110 - 무차별 암호 대입

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

로그인 유형당 사용자 계정 무차별 암호 대입 시도

설명: 이 알고리즘은 과거에 로그온 유형별 사용자 계정당 비정상적으로 많은 양의 실패한 로그인 시도(보안 이벤트 ID 4625)를 검색합니다. 이 모델에는 이전 21일간의 Windows 보안 이벤트 로그가 학습됩니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: Windows 보안 로그
MITRE ATT&CK 전술: 자격 증명 액세스
MITRE ATT&CK 기술: T1110 - 무차별 암호 대입

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

실패 이유당 사용자 계정 무차별 암호 대입 시도

설명: 이 알고리즘은 과거에 실패 이유별 사용자 계정당 비정상적으로 많은 양의 실패한 로그인 시도(보안 이벤트 ID 4625)를 검색합니다. 이 모델에는 이전 21일간의 Windows 보안 이벤트 로그가 학습됩니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: Windows 보안 로그
MITRE ATT&CK 전술: 자격 증명 액세스
MITRE ATT&CK 기술: T1110 - 무차별 암호 대입

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

컴퓨터에서 생성된 네트워크 비콘 검색 동작

설명: 이 알고리즘은 되풀이 시간 델타 패턴을 기반으로 네트워크 트래픽 연결 로그에서 비콘 패턴을 식별합니다. 반복 시간 델타에서 신뢰할 수 없는 공용 네트워크에 대한 모든 네트워크 연결은 맬웨어 콜백 또는 데이터 반출 시도를 나타냅니다. 알고리즘은 동일한 원본 IP와 대상 IP 간의 연속 네트워크 연결 간 시간 델타와 동일한 원본과 대상 간의 시간 델타 시퀀스의 연결 수를 계산합니다. 비콘의 백분율은 하루의 총 연결에 대한 시간 델타 시퀀스의 연결로 계산됩니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: CommonSecurityLog(PAN)
MITRE ATT&CK 전술: 명령 및 제어.
MITRE ATT&CK 기술: T1071 - 애플리케이션 레이어 프로토콜
T1132 - 데이터 인코딩
T1001 - 데이터 난독 처리
T1568 - 동적 확인
T1573 - 암호화된 채널
T1008 - 대체 채널
T1104 - 다단계 채널
T1095 - 비애플리케이션 레이어 프로토콜
T1571 - 비표준 포트
T1572 - 프로토콜 터널링
T1090 - 프록시
T1205 - 트래픽 신호
T1102 - 웹 서비스

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

DNS 도메인의 DGA(도메인 생성 알고리즘)

설명: 이 기계 학습 모델은 DNS 로그에서 과거의 잠재적인 DGA 도메인을 나타냅니다. 이 알고리즘은 IPv4 및 IPv6 주소로 확인되는 DNS 레코드에 적용됩니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: DNS 이벤트
MITRE ATT&CK 전술: 명령 및 제어.
MITRE ATT&CK 기술: T1568 - 동적 확인

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

도메인 평판 Palo Alto 변칙(중단됨)

설명: 이 알고리즘은 Palo Alto 방화벽(PAN-OS 제품) 로그에 특별히 표시되는 모든 도메인에 대한 평판을 평가합니다. 높은 변칙 점수는 낮은 평판을 나타내며, 이는 도메인이 악의적인 콘텐츠를 호스트하는 것으로 관찰되었거나 그렇게 할 가능성이 있음을 나타냅니다.

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

과도한 데이터 전송 변칙

설명: 이 알고리즘은 네트워크 로그에서 관찰되는 비정상적으로 높은 데이터 전송을 검색합니다. 시계열을 사용하여 데이터를 계절별, 추세별 및 나머지 구성 요소로 분해하여 기준을 계산합니다. 기준 기록에서 갑자기 커지는 편차는 비정상적인 작업으로 간주됩니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: CommonSecurityLog(PAN, Zscaler, CEF, CheckPoint, Fortinet)
MITRE ATT&CK 전술: 반출
MITRE ATT&CK 기술: T1030 - 데이터 전송 크기 제한
T1041 - C2 채널을 통한 반출
T1011 - 다른 네트워크 매체를 통한 반출
T1567 - 웹 서비스를 통한 반출
T1029 - 예약된 전송
T1537 - 클라우드 계정으로 데이터 전송

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

Palo Alto GlobalProtect를 통한 과도한 다운로드

설명: 이 알고리즘은 Palo Alto VPN 솔루션을 통해 사용자 계정당 비정상적으로 많은 양의 다운로드를 검색합니다. 이 모델에는 이전 14일간의 VPN 로그가 학습됩니다. 이는 과거의 비정상적인 대량 다운로드를 나타냅니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: CommonSecurityLog(PAN VPN)
MITRE ATT&CK 전술: 반출
MITRE ATT&CK 기술: T1030 - 데이터 전송 크기 제한
T1041 - C2 채널을 통한 반출
T1011 - 다른 네트워크 매체를 통한 반출
T1567 - 웹 서비스를 통한 반출
T1029 - 예약된 전송
T1537 - 클라우드 계정으로 데이터 전송

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

Palo Alto GlobalProtect를 통한 과도한 업로드

설명: 이 알고리즘은 Palo Alto VPN 솔루션을 통해 사용자 계정당 비정상적으로 많은 양의 업로드를 검색합니다. 이 모델에는 이전 14일간의 VPN 로그가 학습됩니다. 이는 과거의 비정상적인 대량 업로드를 나타냅니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: CommonSecurityLog(PAN VPN)
MITRE ATT&CK 전술: 반출
MITRE ATT&CK 기술: T1030 - 데이터 전송 크기 제한
T1041 - C2 채널을 통한 반출
T1011 - 다른 네트워크 매체를 통한 반출
T1567 - 웹 서비스를 통한 반출
T1029 - 예약된 전송
T1537 - 클라우드 계정으로 데이터 전송

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

Palo Alto GlobalProtect 계정 로그인을 통해 비정상적인 지역에서 로그인

설명: Palo Alto GlobalProtect 계정이 지난 14일 동안 거의 로그인되지 않은 원본 지역에서 로그인하면 변칙이 트리거됩니다. 이 변칙은 계정이 손상되었음을 나타낼 수 있습니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: CommonSecurityLog(PAN VPN)
MITRE ATT&CK 전술: 자격 증명 액세스
Initial Access
수평 이동
MITRE ATT&CK 기술: T1133 - 외부 원격 서비스

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

Palo Alto GlobalProtect를 통해 하루에 다중 지역 로그인(중단됨)

설명: 이 알고리즘은 하루 동안 인접하지 않은 여러 지역에서 Palo Alto VPN을 통해 로그인한 사용자 계정을 검색합니다.

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

잠재적인 데이터 준비

설명: 이 알고리즘은 이전 주의 사용자 단위별 고유 파일 다운로드를 각 사용자의 현재 날짜 다운로드와 비교하며, 고유 파일 다운로드 수가 평균을 초과하는 구성된 표준 편차 수를 초과하면 변칙이 트리거됩니다. 현재 알고리즘은 문서, 이미지, 비디오 및 아카이브를 반출하는 동안 일반적으로 표시되는 파일(확장명 doc, docx, xls, xlsx, xlsm, ppt, pptx, one, pdf, zip, rar, bmp, jpg, mp3, mp4mov)만 분석합니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: Office 활동 로그(Exchange)
MITRE ATT&CK 전술: 컬렉션
MITRE ATT&CK 기술: T1074 - 준비된 데이터

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

다음 수준 DNS 도메인의 잠재적인 DGA(도메인 생성 알고리즘)

설명: 이 기계 학습 모델은 비정상적인 과거 DNS 로그의 도메인 이름의 다음 수준 도메인(세 번째 수준 이상)을 나타냅니다. 잠재적으로 DGA(도메인 생성 알고리즘)의 출력일 수 있습니다. 이 변칙은 IPv4 및 IPv6 주소로 확인되는 DNS 레코드에 적용됩니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: DNS 이벤트
MITRE ATT&CK 전술: 명령 및 제어.
MITRE ATT&CK 기술: T1568 - 동적 확인

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

Palo Alto GlobalProtect 계정 로그인의 의심스러운 지리 변경

설명: 일치 항목은 사용자가 사용자의 마지막 원격 로그인의 국가/지역과 다른 국가/지역에서 원격으로 로그인했음을 나타냅니다. 이 규칙은 특히 규칙 일치가 적시에 밀접하게 발생한 경우 계정 손상도 나타낼 수 있습니다. 여기에는 불가능한 이동 시나리오가 포함됩니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: CommonSecurityLog(PAN VPN)
MITRE ATT&CK 전술: Initial Access
자격 증명 액세스
MITRE ATT&CK 기술: T1133 - 외부 원격 서비스
T1078 - 유효한 계정

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

의심스러운 개수의 보호된 문서 액세스

설명: 이 알고리즘은 AIP(Azure Information Protection) 로그에서 보호된 문서에 대한 대용량 액세스를 검색합니다. 지정된 일수 동안의 AIP 워크로드 레코드를 고려하고, 기록 동작을 감안하여 사용자가 특정 일에 보호된 문서에 비정상적으로 액세스했는지 여부를 결정합니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: Azure Information Protection 로그
MITRE ATT&CK 전술: 컬렉션
MITRE ATT&CK 기술: T1530 - 클라우드 저장소 개체의 데이터
T1213 - 정보 리포지토리의 데이터
T1005 - 로컬 시스템의 데이터
T1039 - 네트워크 공유 드라이브의 데이터
T1114 - 이메일 수집

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

비 AWS 원본 IP 주소의 의심스러운 AWS API 호출 횟수

설명: 이 알고리즘은 과거에 AWS 원본 IP 범위 외부의 원본 IP 주소에서 작업 영역당 사용자 계정별로 비정상적으로 많은 양의 AWS API 호출을 검색합니다. 이 모델에는 이전 21일간의 AWS CloudTrail 로그 이벤트가 원본 IP 주소별로 학습됩니다. 이 작업은 사용자 계정이 손상되었음을 나타낼 수 있습니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: AWS CloudTrail 로그
MITRE ATT&CK 전술: Initial Access
MITRE ATT&CK 기술: T1078 - 유효한 계정

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

EventTypeName별 그룹 사용자 계정 AWS CloudTrail 로그 이벤트의 의심스러운 횟수

설명: 이 알고리즘은 과거에 AWS CloudTrail 로그에서 다양한 이벤트 유형(AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction)별로 그룹 사용자 계정당 비정상적으로 많은 양의 이벤트를 검색합니다. 이 모델에는 이전 21일간의 AWS CloudTrail 로그 이벤트가 그룹 사용자 계정별로 학습됩니다. 이 작업은 계정이 손상되었음을 나타낼 수 있습니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: AWS CloudTrail 로그
MITRE ATT&CK 전술: Initial Access
MITRE ATT&CK 기술: T1078 - 유효한 계정

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

사용자 계정의 의심스러운 AWS 쓰기 API 호출 횟수

설명: 이 알고리즘은 과거에 사용자 계정당 비정상적으로 많은 양의 AWS 쓰기 API 호출을 검색합니다. 이 모델에는 이전 21일간의 AWS CloudTrail 로그 이벤트가 사용자 계정별로 학습됩니다. 이 작업은 계정이 손상되었음을 나타낼 수 있습니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: AWS CloudTrail 로그
MITRE ATT&CK 전술: Initial Access
MITRE ATT&CK 기술: T1078 - 유효한 계정

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

각 그룹 사용자 계정별로 실패한 AWS 콘솔 로그인 시도의 의심스러운 횟수

설명: 이 알고리즘은 과거에 AWS CloudTrail 로그에서 그룹 사용자 계정별로 비정상적으로 많은 양의 실패한 AWS 콘솔 로그인 시도를 검색합니다. 이 모델에는 이전 21일간의 AWS CloudTrail 로그 이벤트가 그룹 사용자 계정별로 학습됩니다. 이 작업은 계정이 손상되었음을 나타낼 수 있습니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: AWS CloudTrail 로그
MITRE ATT&CK 전술: Initial Access
MITRE ATT&CK 기술: T1078 - 유효한 계정

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

각 원본 IP 주소별로 실패한 AWS 콘솔 로그인 시도의 의심스러운 횟수

설명: 이 알고리즘은 과거에 AWS CloudTrail 로그에서 원본 IP 주소별로 비정상적으로 많은 양의 실패한 AWS 콘솔 로그인 이벤트를 검색합니다. 이 모델에는 이전 21일간의 AWS CloudTrail 로그 이벤트가 원본 IP 주소별로 학습됩니다. 이 작업은 IP 주소가 손상되었음을 나타낼 수 있습니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: AWS CloudTrail 로그
MITRE ATT&CK 전술: Initial Access
MITRE ATT&CK 기술: T1078 - 유효한 계정

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

의심스러운 컴퓨터 로그인 횟수

설명: 이 알고리즘은 과거에 컴퓨터당 비정상적으로 많은 양의 성공한 로그인(보안 이벤트 ID 4624)을 검색합니다. 이 모델에는 이전 21일간의 Windows 보안 이벤트 로그가 학습됩니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: Windows 보안 로그
MITRE ATT&CK 전술: Initial Access
MITRE ATT&CK 기술: T1078 - 유효한 계정

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

관리자 권한 토큰을 사용한 의심스러운 컴퓨터 로그인 횟수

설명: 이 알고리즘은 과거에 컴퓨터당 비정상적으로 많은 양의 관리자 권한을 사용한 성공한 로그인(보안 이벤트 ID 4624)을 검색합니다. 이 모델에는 이전 21일간의 Windows 보안 이벤트 로그가 학습됩니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: Windows 보안 로그
MITRE ATT&CK 전술: Initial Access
MITRE ATT&CK 기술: T1078 - 유효한 계정

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

의심스러운 사용자 계정 로그인 횟수

설명: 이 알고리즘은 과거에 사용자 계정당 비정상적으로 많은 양의 성공한 로그인(보안 이벤트 ID 4624)을 검색합니다. 이 모델에는 이전 21일간의 Windows 보안 이벤트 로그가 학습됩니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: Windows 보안 로그
MITRE ATT&CK 전술: Initial Access
MITRE ATT&CK 기술: T1078 - 유효한 계정

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

로그온 유형별로 의심스러운 사용자 계정 로그인 횟수

설명: 이 알고리즘은 과거에 사용자 계정당 다양한 로그온 유형별로 비정상적으로 많은 양의 성공한 로그인(보안 이벤트 ID 4624)을 검색합니다. 이 모델에는 이전 21일간의 Windows 보안 이벤트 로그가 학습됩니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: Windows 보안 로그
MITRE ATT&CK 전술: Initial Access
MITRE ATT&CK 기술: T1078 - 유효한 계정

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

관리자 권한 토큰을 사용한 의심스러운 사용자 계정 로그인 횟수

설명: 이 알고리즘은 과거에 사용자 계정당 비정상적으로 많은 양의 관리자 권한을 사용한 성공한 로그인(보안 이벤트 ID 4624)을 검색합니다. 이 모델에는 이전 21일간의 Windows 보안 이벤트 로그가 학습됩니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: Windows 보안 로그
MITRE ATT&CK 전술: Initial Access
MITRE ATT&CK 기술: T1078 - 유효한 계정

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

비정상적인 외부 방화벽 경보 감지됨

설명: 이 알고리즘은 방화벽 공급업체에서 출시한 위협 서명인 비정상적인 외부 방화벽 경보를 식별합니다. 지난 7일의 작업을 사용하여 가장 많이 트리거된 서명 10개와 가장 많은 서명을 트리거한 호스트 10개를 계산합니다. 두 유형의 노이즈가 많은 이벤트를 모두 제외한 후에는 하루에 트리거되는 서명 수에 대한 임계값을 초과한 후에만 변칙을 트리거합니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: CommonSecurityLog(PAN)
MITRE ATT&CK 전술: 발견(Discovery)
명령 및 제어.
MITRE ATT&CK 기술: 검색:
T1046 - 네트워크 서비스 검사
T1135 - 네트워크 공유 검색

명령 및 컨트롤:
T1071 - 애플리케이션 레이어 프로토콜
T1095 - 비애플리케이션 레이어 프로토콜
T1571 - 비표준 포트

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

비정상적인 대량 다운그레이드 AIP 레이블

설명: 이 알고리즘은 AIP(Azure Information Protection) 로그에서 비정상적으로 많은 양의 다운그레이드 레이블 작업을 검색합니다. 지정된 일수의 "AIP" 워크로드 레코드를 고려하고 비정상적인 양의 다운그레이드 작업을 분류하기 위해 적용되는 레이블과 함께 문서에서 수행되는 작업 시퀀스를 결정합니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: Azure Information Protection 로그
MITRE ATT&CK 전술: 컬렉션
MITRE ATT&CK 기술: T1530 - 클라우드 저장소 개체의 데이터
T1213 - 정보 리포지토리의 데이터
T1005 - 로컬 시스템의 데이터
T1039 - 네트워크 공유 드라이브의 데이터
T1114 - 이메일 수집

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

일반적으로 사용되는 포트의 비정상적인 네트워크 통신

설명: 이 알고리즘은 일반적으로 사용되는 포트에서 비정상적인 네트워크 통신을 식별하여 일별 트래픽을 이전 7일의 기준과 비교합니다. 여기에는 일반적으로 사용되는 포트(22, 53, 80, 443, 8080, 8888)의 트래픽이 포함되며, 일일 트래픽을 기준 기간 동안 계산된 여러 네트워크 트래픽 특성의 평균 및 표준 편차와 비교합니다. 고려되는 트래픽 특성은 일일 총 이벤트, 일일 데이터 전송 및 포트당 고유 원본 IP 주소 수입니다. 일별 값이 평균을 초과하여 구성된 표준 편차 수보다 크면 변칙이 트리거됩니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: CommonSecurityLog(PAN, Zscaler, CheckPoint, Fortinet)
MITRE ATT&CK 전술: 명령 및 제어
반출
MITRE ATT&CK 기술: 명령 및 컨트롤:
T1071 - 애플리케이션 레이어 프로토콜

반출:
T1030 - 데이터 전송 크기 제한

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

비정상적인 네트워크 양 변칙

설명: 이 알고리즘은 네트워크 로그에서 비정상적으로 많은 양의 연결을 검색합니다. 시계열을 사용하여 데이터를 계절별, 추세별 및 나머지 구성 요소로 분해하여 기준을 계산합니다. 기준 기록에서 갑자기 커지는 편차는 비정상적인 작업으로 간주됩니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: CommonSecurityLog(PAN, Zscaler, CEF, CheckPoint, Fortinet)
MITRE ATT&CK 전술: 반출
MITRE ATT&CK 기술: T1030 - 데이터 전송 크기 제한

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

URL 경로에서 IP로 검색된 비정상적인 웹 트래픽

설명: 이 알고리즘은 IP 주소를 호스트로 나열하는 비정상적인 웹 요청을 식별합니다. 알고리즘은 URL 경로에서 IP 주소가 있는 모든 웹 요청을 찾아 이전 주 데이터와 비교하여 알려진 무해한 트래픽을 제외합니다. 알려진 무해한 트래픽을 제외한 후에는 총 웹 요청, 동일한 호스트 대상 IP 주소로 표시되는 URL 수 및 동일한 대상 IP 주소가 있는 URL 세트 내의 고유 원본 IP 수와 같은 값으로 구성된 특정 임계값을 초과한 후에만 변칙이 트리거됩니다. 이러한 유형의 요청은 악의적인 목적으로 URL 평판 서비스를 우회하려는 시도를 나타낼 수 있습니다.

attribute
변칙 유형: 사용자 지정 가능한 기계 학습
데이터 원본: CommonSecurityLog(PAN, Zscaler, CheckPoint, Fortinet)
MITRE ATT&CK 전술: 명령 및 제어.
Initial Access
MITRE ATT&CK 기술: 명령 및 컨트롤:
T1071 - 애플리케이션 레이어 프로토콜

초기 액세스:
T1189 - 의도하지 않은 손상

Machine Learning 기반 변칙 목록 | 맨 위로 돌아가기

다음 단계