Afwijkingen gedetecteerd door de Machine Learning-engine van Microsoft Sentinel
In dit artikel worden de afwijkingen vermeld die microsoft Sentinel detecteert met behulp van verschillende machine learning-modellen.
Anomaliedetectie werkt door het gedrag van gebruikers in een omgeving gedurende een bepaalde periode te analyseren en een basislijn van legitieme activiteit samen te stellen. Zodra de basislijn is vastgesteld, wordt elke activiteit buiten de normale parameters beschouwd als afwijkend en daarom verdacht.
Microsoft Sentinel maakt gebruik van twee verschillende modellen om basislijnen te maken en afwijkingen te detecteren.
Notitie
De volgende anomaliedetecties worden vanaf 26 maart 2024 stopgezet vanwege een lage kwaliteit van de resultaten:
- Domeinreputatie Palo Alto anomalie
- Aanmeldingen met meerdere regio's in één dag via Palo Alto GlobalProtect
Belangrijk
Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
UEBA-afwijkingen
Sentinel UEBA detecteert afwijkingen op basis van dynamische basislijnen die zijn gemaakt voor elke entiteit in verschillende gegevensinvoeren. Het basislijngedrag van elke entiteit wordt ingesteld op basis van zijn eigen historische activiteiten, die van de peers en die van de organisatie als geheel. Afwijkingen kunnen worden geactiveerd door de correlatie van verschillende kenmerken, zoals actietype, geolocatie, apparaat, resource, ISP en meer.
U moet de UEBA-functie inschakelen voor UEBA-afwijkingen die moeten worden gedetecteerd.
- Afwijkende accounttoegang verwijderen
- Afwijkend account maken
- Afwijkend account verwijderen
- Afwijkende accountmanipulatie
- Afwijkende uitvoering van code (UEBA)
- Afwijkende gegevensvernietiging
- Afwijkende defensieve mechanismewijziging
- Afwijkende mislukte aanmelding
- Afwijkend wachtwoord opnieuw instellen
- Afwijkende bevoegdheden verleend
- Afwijkende aanmelding
Afwijkende accounttoegang verwijderen
Beschrijving: Een aanvaller kan de beschikbaarheid van systeem- en netwerkbronnen onderbreken door de toegang te blokkeren tot accounts die worden gebruikt door legitieme gebruikers. De aanvaller kan een account verwijderen, vergrendelen of bewerken (bijvoorbeeld door de referenties te wijzigen) om de toegang tot het account te verwijderen.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Azure-activiteitenlogboeken |
| MITRE ATT&CK-tactieken: | Impact |
| MITRE ATT&CK-technieken: | T1531 - Accounttoegang verwijderen |
| Activiteit: | Microsoft.Authorization/roleAssignments/delete Uitloggen |
Terug naar de lijst | met UEBA-afwijkingen terug naar boven
Afwijkend account maken
Beschrijving: Kwaadwillende personen kunnen een account maken om de toegang tot doelsystemen te behouden. Met voldoende toegangsniveau kan het maken van dergelijke accounts worden gebruikt om secundaire referenties tot stand te brengen zonder dat permanente hulpprogramma's voor externe toegang op het systeem moeten worden geïmplementeerd.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Microsoft Entra-auditlogboeken |
| MITRE ATT&CK-tactieken: | Persistentie |
| MITRE ATT&CK-technieken: | T1136 - Account maken |
| MITRE ATT&CK-subtechnieken: | Cloudaccount |
| Activiteit: | Core Directory/UserManagement/Add user |
Terug naar de lijst | met UEBA-afwijkingen terug naar boven
Afwijkend account verwijderen
Beschrijving: Kwaadwillende personen kunnen de beschikbaarheid van systeem- en netwerkresources onderbreken door de toegang tot accounts die worden gebruikt door legitieme gebruikers te remmen. Accounts kunnen worden verwijderd, vergrendeld of gemanipuleerd (bijvoorbeeld gewijzigde referenties) om de toegang tot accounts te verwijderen.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Microsoft Entra-auditlogboeken |
| MITRE ATT&CK-tactieken: | Impact |
| MITRE ATT&CK-technieken: | T1531 - Accounttoegang verwijderen |
| Activiteit: | Core Directory/UserManagement/Delete user Basismap/apparaat/gebruiker verwijderen Core Directory/UserManagement/Delete user |
Terug naar de lijst | met UEBA-afwijkingen terug naar boven
Afwijkende accountmanipulatie
Beschrijving: Kwaadwillende personen kunnen accounts manipuleren om de toegang tot doelsystemen te behouden. Deze acties omvatten het toevoegen van nieuwe accounts aan groepen met hoge bevoegdheden. Dragonfly 2.0 heeft bijvoorbeeld nieuw gemaakte accounts toegevoegd aan de beheerdersgroep om verhoogde toegang te behouden. Met de onderstaande query wordt een uitvoer gegenereerd van alle high-Blast Radius-gebruikers die updategebruiker (naamwijziging) uitvoeren op bevoorrechte rol of gebruikers die voor het eerst gebruikers hebben gewijzigd.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Microsoft Entra-auditlogboeken |
| MITRE ATT&CK-tactieken: | Persistentie |
| MITRE ATT&CK-technieken: | T1098 - Accountmanipulatie |
| Activiteit: | Core Directory/UserManagement/Update user |
Terug naar de lijst | met UEBA-afwijkingen terug naar boven
Afwijkende uitvoering van code (UEBA)
Beschrijving: Kwaadwillende personen kunnen opdrachten en script-interpreters misbruiken om opdrachten, scripts of binaire bestanden uit te voeren. Deze interfaces en talen bieden manieren om te communiceren met computersystemen en zijn een algemene functie op veel verschillende platforms.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Azure-activiteitenlogboeken |
| MITRE ATT&CK-tactieken: | Uitvoering |
| MITRE ATT&CK-technieken: | T1059 - Command and Scripting Interpreter |
| MITRE ATT&CK-subtechnieken: | Powershell |
| Activiteit: | Microsoft.Compute/virtualMachines/runCommand/action |
Terug naar de lijst | met UEBA-afwijkingen terug naar boven
Afwijkende gegevensvernietiging
Beschrijving: Kwaadwillende personen kunnen gegevens en bestanden op specifieke systemen of in grote aantallen op een netwerk vernietigen om de beschikbaarheid van systemen, services en netwerkbronnen te onderbreken. Gegevensvernietiging zal waarschijnlijk onherstelbaar worden gemaakt door forensische technieken door bestanden of gegevens op lokale en externe stations te overschrijven.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Azure-activiteitenlogboeken |
| MITRE ATT&CK-tactieken: | Impact |
| MITRE ATT&CK-technieken: | T1485 - Gegevensvernietiging |
| Activiteit: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schema's/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Terug naar de lijst | met UEBA-afwijkingen terug naar boven
Afwijkende defensieve mechanismewijziging
Beschrijving: Kwaadwillende personen kunnen beveiligingshulpprogramma's uitschakelen om mogelijke detectie van hun hulpprogramma's en activiteiten te voorkomen.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Azure-activiteitenlogboeken |
| MITRE ATT&CK-tactieken: | Verdedigingsontduiking |
| MITRE ATT&CK-technieken: | T1562 - Verdediging tegen schade |
| MITRE ATT&CK-subtechnieken: | Hulpprogramma's uitschakelen of wijzigen Cloudfirewall uitschakelen of wijzigen |
| Activiteit: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Terug naar de lijst | met UEBA-afwijkingen terug naar boven
Afwijkende mislukte aanmelding
Beschrijving: Kwaadwillende personen zonder voorafgaande kennis van legitieme referenties in het systeem of de omgeving kunnen wachtwoorden raden om toegang tot accounts te proberen.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Aanmeldingslogboeken van Microsoft Entra logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Referentietoegang |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
| Activiteit: | Microsoft Entra-id: Aanmeldingsactiviteit Windows-beveiliging: Mislukte aanmelding (gebeurtenis-id 4625) |
Terug naar de lijst | met UEBA-afwijkingen terug naar boven
Afwijkend wachtwoord opnieuw instellen
Beschrijving: Kwaadwillende personen kunnen de beschikbaarheid van systeem- en netwerkresources onderbreken door de toegang tot accounts die worden gebruikt door legitieme gebruikers te remmen. Accounts kunnen worden verwijderd, vergrendeld of gemanipuleerd (bijvoorbeeld gewijzigde referenties) om de toegang tot accounts te verwijderen.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Microsoft Entra-auditlogboeken |
| MITRE ATT&CK-tactieken: | Impact |
| MITRE ATT&CK-technieken: | T1531 - Accounttoegang verwijderen |
| Activiteit: | Basismap/UserManagement/Gebruikerswachtwoord opnieuw instellen |
Terug naar de lijst | met UEBA-afwijkingen terug naar boven
Afwijkende bevoegdheden verleend
Beschrijving: Adversaries kunnen door kwaadwillende gebruikers beheerde referenties toevoegen voor Azure-service-principals, naast bestaande legitieme referenties om permanente toegang tot slachtofferaccounts van Azure te behouden.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Microsoft Entra-auditlogboeken |
| MITRE ATT&CK-tactieken: | Persistentie |
| MITRE ATT&CK-technieken: | T1098 - Accountmanipulatie |
| MITRE ATT&CK-subtechnieken: | Aanvullende Referenties voor Azure-service-principal |
| Activiteit: | Accountinrichting/Toepassingsbeheer/App-roltoewijzing toevoegen aan service-principal |
Terug naar de lijst | met UEBA-afwijkingen terug naar boven
Afwijkende aanmelding
Beschrijving: Kwaadwillende personen kunnen de referenties van een specifiek gebruikers- of serviceaccount stelen met behulp van referentietoegangstechnieken of referenties vastleggen eerder in hun verkenningsproces via social engineering voor het verkrijgen van persistentie.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | UEBA |
| Gegevensbronnen: | Aanmeldingslogboeken van Microsoft Entra logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Persistentie |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
| Activiteit: | Microsoft Entra-id: Aanmeldingsactiviteit Windows-beveiliging: Geslaagde aanmelding (gebeurtenis-id 4624) |
Terug naar de lijst | met UEBA-afwijkingen terug naar boven
Afwijkingen op basis van machine learning
De aanpasbare, op machine learning gebaseerde afwijkingen van Microsoft Sentinel kunnen afwijkend gedrag identificeren met analyseregelsjablonen die direct kunnen worden gebruikt. Hoewel afwijkingen niet noodzakelijkerwijs schadelijk of zelfs verdacht gedrag zelf aangeven, kunnen ze worden gebruikt om detecties, onderzoeken en opsporing van bedreigingen te verbeteren.
- Afwijkende Microsoft Entra-aanmeldingssessies
- Afwijkende Azure-bewerkingen
- Afwijkende uitvoering van code
- Afwijkend lokaal account maken
- Afwijkende scanactiviteit
- Afwijkende gebruikersactiviteiten in Office Exchange
- Afwijkende activiteiten van gebruikers/apps in Azure-auditlogboeken
- Afwijkende W3CIIS-logboekactiviteit
- Afwijkende webaanvraagactiviteit
- Poging tot brute kracht van computer
- Poging tot beveiligingsaanval van gebruikersaccount
- Poging tot brute force van gebruikersaccount per aanmeldingstype
- Poging tot brute force van gebruikersaccount per foutreden
- Gedrag van door de machine gegenereerde netwerkconaconing detecteren
- Algoritme voor het genereren van domeinen (DGA) in DNS-domeinen
- Domeinreputatie Palo Alto anomalie (STOPGEZET)
- Overmatige afwijking van gegevensoverdracht
- Overmatige downloads via Palo Alto GlobalProtect
- Overmatige uploads via Palo Alto GlobalProtect
- Meld u aan bij een ongebruikelijke regio via Aanmeldingen van palo Alto GlobalProtect-account
- Aanmeldingen met meerdere regio's in één dag via Palo Alto GlobalProtect (STOPGEZET)
- Potentiële fasering van gegevens
- Potentieel algoritme voor domeingeneratie (DGA) op DNS-domeinen op het volgende niveau
- Suspicious geography change in Palo Alto GlobalProtect account logins (Verdachte geografische wijziging in aanmeldingen bij Palo Alto GlobalProtect-account)
- Verdacht aantal beveiligde documenten geopend
- Suspicious volume of AWS API calls from Non-AWS source IP address (Verdacht volume van AWS API-aanroepen van ip-adres van niet-AWS-bron)
- Suspicious volume of AWS CloudTrail log events of group user account by EventTypeName
- Suspicious volume of AWS write API calls from a user account (Verdacht volume van AWS-schrijf-API-aanroepen vanuit een gebruikersaccount
- Suspicious volume of failed login attempts to AWS Console by each group user account (Verdacht volume van mislukte aanmeldingspogingen naar AWS Console per groepsgebruikersaccount)
- Suspicious volume of failed login attempts to AWS Console by each source IP address (Verdacht volume van mislukte aanmeldingspogingen naar AWS Console per bron-IP-adres)
- Suspicious volume of logins to computer (Verdacht volume van aanmeldingen op
- Suspicious volume of logins token token with verhoogde token (Verdacht volume van aanmeldingen bij computer met verhoogde token)
- Suspicious volume of logins to user account (Verdacht volume van aanmeldingen voor gebruikersaccount
- Suspicious volume of logins to user account by logon types (Verdacht aantal aanmeldingen naar gebruikersaccount per aanmeldingstype)
- Suspicious volume of logins token token with verhoogde token (Verdacht aantal aanmeldingen bij gebruikersaccount met verhoogde bevoegdheden)
- Ongebruikelijk extern firewallalarm gedetecteerd
- AIP-label voor ongebruikelijke massa downgraden
- Ongebruikelijke netwerkcommunicatie op veelgebruikte poorten
- Ongebruikelijke netwerkvolumeafwijking
- Ongebruikelijk webverkeer gedetecteerd met IP in URL-pad
Afwijkende Microsoft Entra-aanmeldingssessies
Beschrijving: Het machine learning-model groeperen de aanmeldingslogboeken van Microsoft Entra per gebruiker. Het model wordt getraind op de afgelopen 6 dagen na het aanmelden van gebruikers. Dit duidt op afwijkende aanmeldingssessies van gebruikers in de afgelopen dag.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | Aanmeldingslogboeken van Microsoft Entra |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts T1566 - Phishing T1133 - Externe externe services |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Afwijkende Azure-bewerkingen
Beschrijving: Dit detectie-algoritme verzamelt 21 dagen aan gegevens over Azure-bewerkingen die per gebruiker zijn gegroepeerd om dit ML-model te trainen. Het algoritme genereert vervolgens afwijkingen in het geval van gebruikers die reeksen bewerkingen hebben uitgevoerd die ongebruikelijk zijn in hun werkruimten. Het getrainde ML-model beoordeelt de bewerkingen die door de gebruiker worden uitgevoerd en beschouwt afwijkende bewerkingen waarvan de score groter is dan de gedefinieerde drempelwaarde.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | Azure-activiteitenlogboeken |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1190 - Openbare toepassing misbruiken |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Afwijkende uitvoering van code
Beschrijving: Aanvallers kunnen opdrachten en script interpreters misbruiken om opdrachten, scripts of binaire bestanden uit te voeren. Deze interfaces en talen bieden manieren om te communiceren met computersystemen en zijn een algemene functie op veel verschillende platforms.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | Azure-activiteitenlogboeken |
| MITRE ATT&CK-tactieken: | Uitvoering |
| MITRE ATT&CK-technieken: | T1059 - Command and Scripting Interpreter |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Afwijkend lokaal account maken
Beschrijving: Dit algoritme detecteert afwijkend lokaal account maken op Windows-systemen. Aanvallers kunnen lokale accounts maken om de toegang tot doelsystemen te behouden. Dit algoritme analyseert de activiteiten voor het maken van lokale accounts gedurende de afgelopen 14 dagen door gebruikers. Er wordt gezocht naar vergelijkbare activiteit op de huidige dag van gebruikers die nog niet eerder in historische activiteit zijn gezien. U kunt een acceptatielijst opgeven om bekende gebruikers te filteren van het activeren van deze anomalie.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Persistentie |
| MITRE ATT&CK-technieken: | T1136 - Account maken |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Afwijkende scanactiviteit
Beschrijving: Dit algoritme zoekt naar poortscanactiviteit, afkomstig van één bron-IP naar een of meer doel-IP-adressen, die normaal gesproken niet in een bepaalde omgeving worden gezien.
Het algoritme houdt rekening met de vraag of het IP-adres openbaar/extern of privé/intern is en de gebeurtenis dienovereenkomstig wordt gemarkeerd. Op dit moment wordt alleen privé-naar-openbaar of openbaar-naar-privé-activiteit overwogen. Scanactiviteit kan wijzen op een aanvaller die probeert beschikbare services te bepalen in een omgeving die mogelijk kan worden misbruikt en kan worden gebruikt voor inkomend verkeer of laterale verplaatsing. Een groot aantal bronpoorten en een groot aantal doelpoorten van één bron-IP naar één of meerdere doel-IP-adressen of IP-adressen kunnen interessant zijn en duiden op afwijkende scans. Als er bovendien een hoge verhouding van doel-IP's tot het IP-adres met één bron is, kan dit duiden op afwijkende scans.
Configuratiedetails:
- De standaardtaakuitvoering is dagelijks, met bins per uur.
Het algoritme gebruikt de volgende configureerbare standaardinstellingen om de resultaten te beperken op basis van bins per uur. - Opgenomen apparaatacties - accepteren, toestaan, starten
- Uitgesloten poorten - 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
- Aantal afzonderlijke doelpoorten >= 600
- Aantal afzonderlijke bronpoorten >= 600
- Aantal afzonderlijke bronpoorten gedeeld door afzonderlijke doelpoort, verhouding geconverteerd naar percentage >= 99,99
- Bron-IP (altijd 1) gedeeld door doel-IP, verhouding geconverteerd naar percentage >= 99,99
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| MITRE ATT&CK-tactieken: | Detectie |
| MITRE ATT&CK-technieken: | T1046 - Netwerkservice scannen |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Afwijkende gebruikersactiviteiten in Office Exchange
Beschrijving: Dit machine learning-model groepeert de Office Exchange-logboeken per gebruiker in buckets per uur. We definiëren één uur als een sessie. Het model wordt getraind op de afgelopen 7 dagen van gedrag voor alle gewone (niet-beheerders) gebruikers. Dit duidt op afwijkende Office Exchange-sessies van gebruikers in de afgelopen dag.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | Office-activiteitenlogboek (Exchange) |
| MITRE ATT&CK-tactieken: | Persistentie Verzameling |
| MITRE ATT&CK-technieken: | Collectie: T1114 - E-mailverzameling T1213 - Gegevens uit informatieopslagplaatsen Volharding: T1098 - Accountmanipulatie T1136 - Account maken T1137 - Office-toepassing opstarten T1505 - Serversoftwareonderdeel |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Afwijkende activiteiten van gebruikers/apps in Azure-auditlogboeken
Beschrijving: Dit algoritme identificeert afwijkende Azure-sessies van gebruikers/apps in auditlogboeken voor de afgelopen dag, op basis van het gedrag van de afgelopen 21 dagen voor alle gebruikers en apps. Het algoritme controleert op voldoende hoeveelheid gegevens voordat het model wordt getraind.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | Microsoft Entra-auditlogboeken |
| MITRE ATT&CK-tactieken: | Verzameling Detectie Initial Access Persistentie Escalatie van bevoegdheden |
| MITRE ATT&CK-technieken: | Collectie: T1530 - Gegevens uit cloudopslagobject Detectie: T1087 - Accountdetectie T1538 - Cloudservicedashboard T1526 - Cloud Service Discovery T1069 - Detectie van machtigingsgroepen T1518 - Software Discovery Eerste toegang: T1190 - Openbare toepassing misbruiken T1078 - Geldige accounts Volharding: T1098 - Accountmanipulatie T1136 - Account maken T1078 - Geldige accounts Escalatie van bevoegdheden: T1484 - Domeinbeleid wijzigen T1078 - Geldige accounts |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Afwijkende W3CIIS-logboekactiviteit
Beschrijving: Dit machine learning-algoritme geeft afwijkende IIS-sessies aan over de afgelopen dag. Er wordt bijvoorbeeld een ongebruikelijk groot aantal afzonderlijke URI-query's, gebruikersagenten of logboeken in een sessie vastgelegd, of specifieke HTTP-woorden of HTTP-statussen in een sessie. Het algoritme identificeert ongebruikelijke W3CIISLog-gebeurtenissen binnen een sessie per uur, gegroepeerd op sitenaam en client-IP. Het model wordt getraind op de afgelopen 7 dagen van IIS-activiteit. Het algoritme controleert voordat het model wordt getraind op voldoende hoeveelheid IIS-activiteit.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | W3CIIS-logboeken |
| MITRE ATT&CK-tactieken: | Initial Access Persistentie |
| MITRE ATT&CK-technieken: | Eerste toegang: T1190 - Openbare toepassing misbruiken Volharding: T1505 - Serversoftwareonderdeel |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Afwijkende webaanvraagactiviteit
Beschrijving: Met dit algoritme worden W3CIISLog-gebeurtenissen gegroepeerd in sessies die zijn gegroepeerd op sitenaam en URI-stam. Het machine learning-model identificeert sessies met ongebruikelijk veel aanvragen die in de afgelopen dag reactiecodes van 5xx-klassen hebben geactiveerd. 5xx-klassecodes zijn een indicatie dat sommige toepassingsinstabiliteit of foutvoorwaarde is geactiveerd door de aanvraag. Ze kunnen een indicatie zijn dat een aanvaller de URI-stam voor beveiligingsproblemen en configuratieproblemen test, bepaalde exploitatieactiviteiten uitvoert, zoals SQL-injectie, of een niet-gepatcht beveiligingsprobleem gebruikt. Dit algoritme gebruikt 6 dagen aan gegevens voor training.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | W3CIIS-logboeken |
| MITRE ATT&CK-tactieken: | Initial Access Persistentie |
| MITRE ATT&CK-technieken: | Eerste toegang: T1190 - Openbare toepassing misbruiken Volharding: T1505 - Serversoftwareonderdeel |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Poging tot brute kracht van computer
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal mislukte aanmeldingspogingen (beveiligingsgebeurtenis-id 4625) per computer gedurende de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen van windows-beveiligingsgebeurtenislogboeken.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Referentietoegang |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Poging tot beveiligingsaanval van gebruikersaccount
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal mislukte aanmeldingspogingen (beveiligingsgebeurtenis-id 4625) per gebruikersaccount gedurende de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen van windows-beveiligingsgebeurtenislogboeken.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Referentietoegang |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Poging tot brute force van gebruikersaccount per aanmeldingstype
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal mislukte aanmeldingspogingen (beveiligingsgebeurtenis-id 4625) per gebruikersaccount per aanmeldingstype gedurende de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen van windows-beveiligingsgebeurtenislogboeken.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Referentietoegang |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Poging tot brute force van gebruikersaccount per foutreden
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal mislukte aanmeldingspogingen (beveiligingsgebeurtenis-id 4625) per gebruikersaccount per foutreden gedurende de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen van windows-beveiligingsgebeurtenislogboeken.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Referentietoegang |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Gedrag van door de machine gegenereerde netwerkconaconing detecteren
Beschrijving: Dit algoritme identificeert beaconing-patronen uit netwerkverkeersverbindingslogboeken op basis van terugkerende tijdsdeltapatronen. Elke netwerkverbinding naar niet-vertrouwde openbare netwerken bij herhaalde tijds delta's is een indicatie van malware callbacks of data exfiltratiepogingen. Het algoritme berekent de tijdsvariatie tussen opeenvolgende netwerkverbindingen tussen hetzelfde bron-IP- en doel-IP-adres, evenals het aantal verbindingen in een tijd-deltareeks tussen dezelfde bronnen en bestemmingen. Het percentage beaconing wordt berekend als de verbindingen in time-delta-reeks ten opzichte van het totale aantal verbindingen in een dag.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | CommonSecurityLog (PAN) |
| MITRE ATT&CK-tactieken: | Opdracht en controle |
| MITRE ATT&CK-technieken: | T1071 - Application Layer Protocol T1132 - Gegevenscodering T1001 - Verborgen gegevens T1568 - Dynamische resolutie T1573 - Versleuteld kanaal T1008 - Terugvalkanalen T1104 - Kanalen met meerdere fasen T1095 - Protocol voor niet-toepassingslaag T1571 - Niet-standaardpoort T1572 - Protocoltunneling T1090 - Proxy T1205 - Verkeerssignalen T1102 - Webservice |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Algoritme voor het genereren van domeinen (DGA) in DNS-domeinen
Beschrijving: Dit machine learning-model geeft potentiële DGA-domeinen van de afgelopen dag in de DNS-logboeken aan. Het algoritme is van toepassing op DNS-records die worden omgezet in IPv4- en IPv6-adressen.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | DNS-gebeurtenissen |
| MITRE ATT&CK-tactieken: | Opdracht en controle |
| MITRE ATT&CK-technieken: | T1568 - Dynamische resolutie |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Domeinreputatie Palo Alto anomalie (STOPGEZET)
Beschrijving: Dit algoritme evalueert de reputatie voor alle domeinen die specifiek worden gezien in pan-OS-productlogboeken (Palo Alto Firewall). Een hoge anomaliescore geeft een lage reputatie aan, wat suggereert dat het domein is waargenomen om schadelijke inhoud te hosten of dat dit waarschijnlijk gebeurt.
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Overmatige afwijking van gegevensoverdracht
Beschrijving: Dit algoritme detecteert ongebruikelijk hoge gegevensoverdracht die wordt waargenomen in netwerklogboeken. Het maakt gebruik van tijdreeksen om de gegevens op te splitsen in seizoensgebonden, trend- en residuenonderdelen om de basislijn te berekenen. Elke plotselinge grote afwijking van de historische basislijn wordt beschouwd als afwijkende activiteit.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| MITRE ATT&CK-tactieken: | Exfiltration (Exfiltratie) |
| MITRE ATT&CK-technieken: | T1030 - Limieten voor gegevensoverdracht T1041 - Exfiltratie via C2-kanaal T1011 - Exfiltratie via ander netwerkmedium T1567 - Exfiltratie via webservice T1029 - Geplande overdracht T1537 - Gegevens overdragen naar cloudaccount |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Overmatige downloads via Palo Alto GlobalProtect
Beschrijving: Dit algoritme detecteert ongebruikelijk veel download per gebruikersaccount via de Palo Alto VPN-oplossing. Het model wordt getraind op de afgelopen 14 dagen van de VPN-logboeken. Dit duidt op een afwijkend groot aantal downloads in de afgelopen dag.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-tactieken: | Exfiltration (Exfiltratie) |
| MITRE ATT&CK-technieken: | T1030 - Limieten voor gegevensoverdracht T1041 - Exfiltratie via C2-kanaal T1011 - Exfiltratie via ander netwerkmedium T1567 - Exfiltratie via webservice T1029 - Geplande overdracht T1537 - Gegevens overdragen naar cloudaccount |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Overmatige uploads via Palo Alto GlobalProtect
Beschrijving: Dit algoritme detecteert ongebruikelijk veel upload per gebruikersaccount via de Palo Alto VPN-oplossing. Het model wordt getraind op de afgelopen 14 dagen van de VPN-logboeken. Dit duidt op een afwijkend hoog uploadvolume in de afgelopen dag.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-tactieken: | Exfiltration (Exfiltratie) |
| MITRE ATT&CK-technieken: | T1030 - Limieten voor gegevensoverdracht T1041 - Exfiltratie via C2-kanaal T1011 - Exfiltratie via ander netwerkmedium T1567 - Exfiltratie via webservice T1029 - Geplande overdracht T1537 - Gegevens overdragen naar cloudaccount |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Meld u aan bij een ongebruikelijke regio via Aanmeldingen van palo Alto GlobalProtect-account
Beschrijving: Wanneer een Palo Alto GlobalProtect-account zich aanmeldt vanuit een bronregio die de afgelopen 14 dagen zelden is aangemeld, wordt een anomalie geactiveerd. Deze anomalie kan erop wijzen dat het account is aangetast.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-tactieken: | Referentietoegang Initial Access Zijwaartse beweging |
| MITRE ATT&CK-technieken: | T1133 - Externe externe services |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Aanmeldingen met meerdere regio's in één dag via Palo Alto GlobalProtect (STOPGEZET)
Beschrijving: Met dit algoritme wordt een gebruikersaccount gedetecteerd dat aanmeldingen had van meerdere niet-aangrenzende regio's in één dag via een Palo Alto VPN.
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Potentiële fasering van gegevens
Beschrijving: Dit algoritme vergelijkt de downloads van afzonderlijke bestanden per gebruiker op basis van de vorige week met de downloads voor de huidige dag voor elke gebruiker en er wordt een anomalie geactiveerd wanneer het aantal downloads van afzonderlijke bestanden het geconfigureerde aantal standaarddeviaties boven het gemiddelde overschrijdt. Op dit moment analyseert het algoritme alleen bestanden die vaak worden gezien tijdens exfiltratie van documenten, afbeeldingen, video's en archieven met de extensies doc, docx, pptxlsxxlsmxls, onerarzippptxpdfbmp, jpg, en . mp3mp4mov
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | Office-activiteitenlogboek (Exchange) |
| MITRE ATT&CK-tactieken: | Verzameling |
| MITRE ATT&CK-technieken: | T1074 - Gefaseerd gegevens |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Potentieel algoritme voor domeingeneratie (DGA) op DNS-domeinen op het volgende niveau
Beschrijving: Dit machine learning-model geeft de domeinen op het volgende niveau (derde niveau en hoger) van de domeinnamen aan vanaf de laatste dag van DNS-logboeken die ongebruikelijk zijn. Ze kunnen mogelijk de uitvoer zijn van een domeingeneratiealgoritme (DGA). De anomalie is van toepassing op de DNS-records die worden omgezet in IPv4- en IPv6-adressen.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | DNS-gebeurtenissen |
| MITRE ATT&CK-tactieken: | Opdracht en controle |
| MITRE ATT&CK-technieken: | T1568 - Dynamische resolutie |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Suspicious geography change in Palo Alto GlobalProtect account logins (Verdachte geografische wijziging in aanmeldingen bij Palo Alto GlobalProtect-account)
Beschrijving: Een overeenkomst geeft aan dat een gebruiker zich extern heeft aangemeld vanuit een land/regio die verschilt van het land/de regio van de laatste externe aanmelding van de gebruiker. Deze regel kan ook duiden op een inbreuk op een account, met name als de regel nauw op tijd overeenkomt. Dit omvat het scenario van onmogelijke reizen.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-tactieken: | Initial Access Referentietoegang |
| MITRE ATT&CK-technieken: | T1133 - Externe externe services T1078 - Geldige accounts |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Verdacht aantal beveiligde documenten geopend
Beschrijving: Dit algoritme detecteert een groot aantal toegang tot beveiligde documenten in AIP-logboeken (Azure Information Protection). Het beschouwt AIP-werkbelastingrecords gedurende een bepaald aantal dagen en bepaalt of de gebruiker ongebruikelijke toegang heeft uitgevoerd tot beveiligde documenten op een dag op basis van historisch gedrag.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | Azure Information Protection-logboeken |
| MITRE ATT&CK-tactieken: | Verzameling |
| MITRE ATT&CK-technieken: | T1530 - Gegevens uit cloudopslagobject T1213 - Gegevens uit informatieopslagplaatsen T1005 - Gegevens van lokaal systeem T1039 - Gegevens van gedeeld netwerkstation T1114 - E-mailverzameling |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Suspicious volume of AWS API calls from Non-AWS source IP address (Verdacht volume van AWS API-aanroepen van ip-adres van niet-AWS-bron)
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal AWS API-aanroepen per gebruikersaccount per werkruimte, van bron-IP-adressen buiten de bron-IP-adresbereiken van AWS, binnen de laatste dag. Het model wordt getraind op de afgelopen 21 dagen van AWS CloudTrail-logboekgebeurtenissen op bron-IP-adres. Deze activiteit kan erop wijzen dat het gebruikersaccount is aangetast.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | AWS CloudTrail-logboeken |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Suspicious volume of AWS CloudTrail log events of group user account by EventTypeName
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal gebeurtenissen per groepsgebruikersaccount, op basis van verschillende gebeurtenistypen (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction), in uw AWS CloudTrail-logboek binnen de laatste dag. Het model wordt getraind op de afgelopen 21 dagen van AWS CloudTrail-logboekgebeurtenissen op groepsgebruikersaccount. Deze activiteit kan erop wijzen dat het account is aangetast.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | AWS CloudTrail-logboeken |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Suspicious volume of AWS write API calls from a user account (Verdacht volume van AWS-schrijf-API-aanroepen vanuit een gebruikersaccount
Beschrijving: Met dit algoritme wordt binnen de laatste dag een ongebruikelijk groot aantal AWS-schrijf-API-aanroepen per gebruikersaccount gedetecteerd. Het model wordt getraind op de afgelopen 21 dagen van AWS CloudTrail-logboekgebeurtenissen per gebruikersaccount. Deze activiteit kan erop wijzen dat het account is aangetast.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | AWS CloudTrail-logboeken |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Suspicious volume of failed login attempts to AWS Console by each group user account (Verdacht volume van mislukte aanmeldingspogingen naar AWS Console per groepsgebruikersaccount)
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal mislukte aanmeldingspogingen naar AWS Console per groepsgebruikersaccount in uw AWS CloudTrail-logboek binnen de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen van AWS CloudTrail-logboekgebeurtenissen op groepsgebruikersaccount. Deze activiteit kan erop wijzen dat het account is aangetast.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | AWS CloudTrail-logboeken |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Suspicious volume of failed login attempts to AWS Console by each source IP address (Verdacht volume van mislukte aanmeldingspogingen naar AWS Console per bron-IP-adres)
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal mislukte aanmeldingsgebeurtenissen naar AWS Console per bron-IP-adres in uw AWS CloudTrail-logboek binnen de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen van AWS CloudTrail-logboekgebeurtenissen op bron-IP-adres. Deze activiteit kan erop wijzen dat het IP-adres is aangetast.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | AWS CloudTrail-logboeken |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Suspicious volume of logins to computer (Verdacht volume van aanmeldingen op
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal geslaagde aanmeldingen (beveiligingsgebeurtenis-id 4624) per computer gedurende de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen na Windows-beveiliging gebeurtenislogboeken.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Suspicious volume of logins token token with verhoogde token (Verdacht volume van aanmeldingen bij computer met verhoogde token)
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal geslaagde aanmeldingen (beveiligingsgebeurtenis-id 4624) met beheerdersbevoegdheden, per computer, gedurende de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen na Windows-beveiliging gebeurtenislogboeken.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Suspicious volume of logins to user account (Verdacht volume van aanmeldingen voor gebruikersaccount
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal geslaagde aanmeldingen (beveiligingsgebeurtenis-id 4624) per gebruikersaccount gedurende de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen na Windows-beveiliging gebeurtenislogboeken.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Suspicious volume of logins to user account by logon types (Verdacht aantal aanmeldingen naar gebruikersaccount per aanmeldingstype)
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal geslaagde aanmeldingen (beveiligingsgebeurtenis-id 4624) per gebruikersaccount, op basis van verschillende aanmeldingstypen, gedurende de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen na Windows-beveiliging gebeurtenislogboeken.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Suspicious volume of logins token token with verhoogde token (Verdacht aantal aanmeldingen bij gebruikersaccount met verhoogde bevoegdheden)
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal geslaagde aanmeldingen (beveiligingsgebeurtenis-id 4624) met beheerdersbevoegdheden, per gebruikersaccount, gedurende de afgelopen dag. Het model wordt getraind op de afgelopen 21 dagen na Windows-beveiliging gebeurtenislogboeken.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | logboeken Windows-beveiliging |
| MITRE ATT&CK-tactieken: | Initial Access |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Ongebruikelijk extern firewallalarm gedetecteerd
Beschrijving: Dit algoritme identificeert ongebruikelijke externe firewallalarmen die bedreigingshandtekeningen zijn die zijn vrijgegeven door een firewallleverancier. Hierbij worden de activiteiten van de afgelopen zeven dagen gebruikt om de tien meest geactiveerde handtekeningen en de tien hosts te berekenen die de meeste handtekeningen hebben geactiveerd. Nadat beide typen ruisgebeurtenissen zijn uitgesloten, wordt er slechts een anomalie geactiveerd nadat de drempelwaarde voor het aantal handtekeningen dat in één dag wordt geactiveerd, is overschreden.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | CommonSecurityLog (PAN) |
| MITRE ATT&CK-tactieken: | Detectie Opdracht en controle |
| MITRE ATT&CK-technieken: | Detectie: T1046 - Netwerkservice scannen T1135 - Detectie van netwerkshares Opdracht en beheer: T1071 - Application Layer Protocol T1095 - Protocol voor niet-toepassingslaag T1571 - Niet-standaardpoort |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
AIP-label voor ongebruikelijke massa downgraden
Beschrijving: Dit algoritme detecteert ongebruikelijk veel downgradelabelactiviteit in AIP-logboeken (Azure Information Protection). Het beschouwt AIP-workloadrecords gedurende een bepaald aantal dagen en bepaalt de volgorde van de activiteit die wordt uitgevoerd op documenten, samen met het label dat is toegepast om ongebruikelijk volume van downgrade-activiteit te classificeren.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | Azure Information Protection-logboeken |
| MITRE ATT&CK-tactieken: | Verzameling |
| MITRE ATT&CK-technieken: | T1530 - Gegevens uit cloudopslagobject T1213 - Gegevens uit informatieopslagplaatsen T1005 - Gegevens van lokaal systeem T1039 - Gegevens van gedeeld netwerkstation T1114 - E-mailverzameling |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Ongebruikelijke netwerkcommunicatie op veelgebruikte poorten
Beschrijving: Dit algoritme identificeert ongebruikelijke netwerkcommunicatie op veelgebruikte poorten, waarmee dagelijks verkeer wordt vergeleken met een basislijn van de afgelopen 7 dagen. Dit omvat verkeer op veelgebruikte poorten (22, 53, 80, 443, 8080, 8888) en vergelijkt dagelijks verkeer met het gemiddelde en de standaarddeviatie van verschillende netwerkverkeerskenmerken die zijn berekend over de basislijnperiode. De beschouwde verkeerskenmerken zijn dagelijkse totale gebeurtenissen, dagelijkse gegevensoverdracht en het aantal afzonderlijke bron-IP-adressen per poort. Een anomalie wordt geactiveerd wanneer de dagelijkse waarden groter zijn dan het geconfigureerde aantal standaarddeviaties boven het gemiddelde.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| MITRE ATT&CK-tactieken: | Opdracht en controle Exfiltration (Exfiltratie) |
| MITRE ATT&CK-technieken: | Opdracht en beheer: T1071 - Application Layer Protocol Exfiltratie: T1030 - Limieten voor gegevensoverdracht |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Ongebruikelijke netwerkvolumeafwijking
Beschrijving: Dit algoritme detecteert ongebruikelijk veel verbindingen in netwerklogboeken. Het maakt gebruik van tijdreeksen om de gegevens op te splitsen in seizoensgebonden, trend- en residuenonderdelen om de basislijn te berekenen. Elke plotselinge grote afwijking van de historische basislijn wordt beschouwd als afwijkende activiteit.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| MITRE ATT&CK-tactieken: | Exfiltration (Exfiltratie) |
| MITRE ATT&CK-technieken: | T1030 - Limieten voor gegevensoverdracht |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Ongebruikelijk webverkeer gedetecteerd met IP in URL-pad
Beschrijving: Dit algoritme identificeert ongebruikelijke webaanvragen met een IP-adres als de host. Het algoritme vindt alle webaanvragen met IP-adressen in het URL-pad en vergelijkt deze met de vorige week met gegevens om bekend goedaardig verkeer uit te sluiten. Nadat bekend goedaardig verkeer is uitgesloten, wordt alleen een anomalie geactiveerd nadat bepaalde drempelwaarden zijn overschreden met geconfigureerde waarden, zoals het totale aantal webaanvragen, het aantal URL's dat wordt gezien met hetzelfde IP-adres van de hostbestemming en het aantal afzonderlijke bron-IP-adressen binnen de set URL's met hetzelfde doel-IP-adres. Dit type aanvraag kan duiden op een poging om URL-reputatieservices te omzeilen voor schadelijke doeleinden.
| Kenmerk | Weergegeven als |
|---|---|
| Afwijkingstype: | Aanpasbare machine learning |
| Gegevensbronnen: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| MITRE ATT&CK-tactieken: | Opdracht en controle Initial Access |
| MITRE ATT&CK-technieken: | Opdracht en beheer: T1071 - Application Layer Protocol Eerste toegang: T1189 - Drive-by Compromise |
Terug naar de lijst | met afwijkingen op basis van Machine Learning terug naar boven
Volgende stappen
Meer informatie over door machine learning gegenereerde afwijkingen in Microsoft Sentinel.
Meer informatie over het werken met anomalieregels.
Incidenten onderzoeken met Microsoft Sentinel.