Udostępnij za pośrednictwem


Anomalie wykryte przez aparat uczenia maszynowego usługi Microsoft Sentinel

W tym artykule wymieniono anomalie wykrywane przez usługę Microsoft Sentinel przy użyciu różnych modeli uczenia maszynowego.

Wykrywanie anomalii działa przez analizowanie zachowania użytkowników w środowisku w danym okresie i konstruowanie punktu odniesienia uzasadnionej aktywności. Po ustanowieniu punktu odniesienia wszelkie działania poza normalnymi parametrami są uznawane za nietypowe i dlatego podejrzane.

Usługa Microsoft Sentinel używa dwóch różnych modeli do tworzenia punktów odniesienia i wykrywania anomalii.

Uwaga

Następujące wykrycia anomalii są przerywane od 26 marca 2024 r., ze względu na niską jakość wyników:

  • Reputacja domeny Palo Alto anomalia
  • Logowania w wielu regionach w ciągu jednego dnia za pośrednictwem aplikacji Palo Alto GlobalProtect

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Anomalie UEBA

Usługa Sentinel UEBA wykrywa anomalie na podstawie dynamicznych punktów odniesienia utworzonych dla każdej jednostki w różnych danych wejściowych. Zachowanie punktu odniesienia każdej jednostki jest ustawiane zgodnie z własnymi działaniami historycznymi, ich elementami równorzędnymi i całościami organizacji. Anomalie mogą być wyzwalane przez korelację różnych atrybutów, takich jak typ akcji, lokalizacja geograficzna, urządzenie, zasób, usługodawca internetowym i inne.

Aby wykryć anomalie UEBA, należy włączyć funkcję UEBA.

Nietypowe usuwanie dostępu do konta

Opis: Osoba atakująca może przerwać dostępność zasobów systemowych i sieciowych, blokując dostęp do kont używanych przez uprawnionych użytkowników. Osoba atakująca może usunąć, zablokować lub manipulować kontem (na przykład zmieniając jego poświadczenia), aby usunąć dostęp do niego.

Atrybut Wartość
Typ anomalii: UEBA
Źródła danych: Dzienniki aktywności platformy Azure
TAKTYKA MITRE ATT&CK: Wpływ
TECHNIKI MITRE ATT&CK: T1531 — usuwanie dostępu do konta
Ćwiczenie: Microsoft.Authorization/roleAssignments/delete
Wylogowywanie

Powrót do listy | anomalii UEBA Powrót do góry

Nietypowe tworzenie konta

Opis: Osoby atakujące mogą utworzyć konto, aby zachować dostęp do systemów docelowych. Mając wystarczający poziom dostępu, tworzenie takich kont może służyć do ustanawiania dodatkowego dostępu poświadczeń bez konieczności wdrażania trwałych narzędzi dostępu zdalnego w systemie.

Atrybut Wartość
Typ anomalii: UEBA
Źródła danych: Dzienniki inspekcji usługi Microsoft Entra
TAKTYKA MITRE ATT&CK: Trwałość
TECHNIKI MITRE ATT&CK: T1136 — Tworzenie konta
Techniki podrzędne MITRE ATT&CK: Konto w chmurze
Ćwiczenie: Katalog podstawowy/userManagement/Dodawanie użytkownika

Powrót do listy | anomalii UEBA Powrót do góry

Nietypowe usuwanie konta

Opis: Przeciwnicy mogą przerwać dostępność systemu i zasobów sieciowych, hamując dostęp do kont używanych przez uprawnionych użytkowników. Konta mogą zostać usunięte, zablokowane lub manipulowane (np. zmienione poświadczenia), aby usunąć dostęp do kont.

Atrybut Wartość
Typ anomalii: UEBA
Źródła danych: Dzienniki inspekcji usługi Microsoft Entra
TAKTYKA MITRE ATT&CK: Wpływ
TECHNIKI MITRE ATT&CK: T1531 — usuwanie dostępu do konta
Ćwiczenie: Katalog podstawowy/użytkownikZarządzanie/Usuwanie użytkownika
Katalog podstawowy/urządzenie/usuwanie użytkownika
Katalog podstawowy/użytkownikZarządzanie/Usuwanie użytkownika

Powrót do listy | anomalii UEBA Powrót do góry

Nietypowe manipulowanie kontem

Opis: Przeciwnicy mogą manipulować kontami w celu utrzymania dostępu do systemów docelowych. Te akcje obejmują dodawanie nowych kont do grup z wysokimi uprawnieniami. Dragonfly 2.0, na przykład, dodano nowo utworzone konta do grupy administratorów, aby zachować podwyższony poziom dostępu. Poniższe zapytanie generuje dane wyjściowe wszystkich użytkowników usługi Radius o wysokiej wydajności wykonujących funkcję "Aktualizuj użytkownika" (zmianę nazwy) na rolę uprzywilejowaną lub tych, którzy zmienili użytkowników po raz pierwszy.

Atrybut Wartość
Typ anomalii: UEBA
Źródła danych: Dzienniki inspekcji usługi Microsoft Entra
TAKTYKA MITRE ATT&CK: Trwałość
TECHNIKI MITRE ATT&CK: T1098 — manipulowanie kontem
Ćwiczenie: Katalog podstawowy/użytkownikZarządzanie/Aktualizowanie użytkownika

Powrót do listy | anomalii UEBA Powrót do góry

Nietypowe wykonywanie kodu (UEBA)

Opis: Przeciwnicy mogą nadużywać interpreterów poleceń i skryptów w celu wykonywania poleceń, skryptów lub plików binarnych. Te interfejsy i języki zapewniają sposoby interakcji z systemami komputerowymi i są wspólną funkcją na wielu różnych platformach.

Atrybut Wartość
Typ anomalii: UEBA
Źródła danych: Dzienniki aktywności platformy Azure
TAKTYKA MITRE ATT&CK: Wykonanie
TECHNIKI MITRE ATT&CK: T1059 — interpreter poleceń i skryptów
Techniki podrzędne MITRE ATT&CK: PowerShell
Ćwiczenie: Microsoft.Compute/virtualMachines/runCommand/action

Powrót do listy | anomalii UEBA Powrót do góry

Nietypowe niszczenie danych

Opis: Przeciwnicy mogą zniszczyć dane i pliki w określonych systemach lub w dużej liczbie w sieci, aby przerwać dostępność systemów, usług i zasobów sieciowych. Niszczenie danych może renderować przechowywane dane w sposób nieodzyskiwalny przez techniki kryminalistyczne poprzez zastępowanie plików lub danych na lokalnych i zdalnych dyskach.

Atrybut Wartość
Typ anomalii: UEBA
Źródła danych: Dzienniki aktywności platformy Azure
TAKTYKA MITRE ATT&CK: Wpływ
TECHNIKI MITRE ATT&CK: T1485 — niszczenie danych
Ćwiczenie: Microsoft.Compute/disks/delete
Microsoft.Compute/gallerys/images/delete
Microsoft.Compute/hostGroups/delete
Microsoft.Compute/hostGroups/hosts/delete
Microsoft.Compute/images/delete
Microsoft.Compute/virtualMachines/delete
Microsoft.Compute/virtualMachineScaleSets/delete
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete
Microsoft.Devices/digitalTwins/Delete
Microsoft.Devices/iotHubs/Delete
Microsoft.KeyVault/vaults/delete
Microsoft.Logic/integrationAccounts/delete
Microsoft.Logic/integrationAccounts/maps/delete
Microsoft.Logic/integrationAccounts/schemas/delete
Microsoft.Logic/integrationAccounts/partners/delete
Microsoft.Logic/integrationServiceEnvironments/delete
Microsoft.Logic/workflows/delete
Microsoft.Resources/subscriptions/resourceGroups/delete
Microsoft.Sql/instancePools/delete
Microsoft.Sql/managedInstances/delete
Microsoft.Sql/managedInstances/administrators/delete
Microsoft.Sql/managedInstances/databases/delete
Microsoft.Storage/storageAccounts/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete
Microsoft.Storage/storageAccounts/blobServices/containers/delete
Microsoft.AAD/domainServices/delete

Powrót do listy | anomalii UEBA Powrót do góry

Nietypowa modyfikacja mechanizmu obronnego

Opis: Przeciwnicy mogą wyłączyć narzędzia zabezpieczeń, aby uniknąć możliwego wykrywania ich narzędzi i działań.

Atrybut Wartość
Typ anomalii: UEBA
Źródła danych: Dzienniki aktywności platformy Azure
TAKTYKA MITRE ATT&CK: Uchylanie się od obrony
TECHNIKI MITRE ATT&CK: T1562 - Upośledzenie obrony
Techniki podrzędne MITRE ATT&CK: Wyłączanie lub modyfikowanie narzędzi
Wyłączanie lub modyfikowanie zapory w chmurze
Ćwiczenie: Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete
Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete
Microsoft.Network/networkSecurityGroups/securityRules/delete
Microsoft.Network/networkSecurityGroups/delete
Microsoft.Network/ddosProtectionPlans/delete
Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete
Microsoft.Network/applicationSecurityGroups/delete
Microsoft.Authorization/policyAssignments/delete
Microsoft.Sql/servers/firewallRules/delete
Microsoft.Network/firewallPolicies/delete
Microsoft.Network/azurefirewalls/delete

Powrót do listy | anomalii UEBA Powrót do góry

Nietypowe logowanie nie powiodło się

Opis: Przeciwnicy bez wcześniejszej wiedzy na temat wiarygodnych poświadczeń w systemie lub środowisku mogą odgadnąć hasła do próby uzyskania dostępu do kont.

Atrybut Wartość
Typ anomalii: UEBA
Źródła danych: Dzienniki logowania w usłudze Microsoft Entra
dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Dostęp poświadczeń
TECHNIKI MITRE ATT&CK: T1110 — Siły brutalne
Ćwiczenie: Microsoft Entra ID: działanie logowania
Zabezpieczenia Windows: Logowanie nie powiodło się (zdarzenie o identyfikatorze 4625)

Powrót do listy | anomalii UEBA Powrót do góry

Nietypowe resetowanie hasła

Opis: Przeciwnicy mogą przerwać dostępność systemu i zasobów sieciowych, hamując dostęp do kont używanych przez uprawnionych użytkowników. Konta mogą zostać usunięte, zablokowane lub manipulowane (np. zmienione poświadczenia), aby usunąć dostęp do kont.

Atrybut Wartość
Typ anomalii: UEBA
Źródła danych: Dzienniki inspekcji usługi Microsoft Entra
TAKTYKA MITRE ATT&CK: Wpływ
TECHNIKI MITRE ATT&CK: T1531 — usuwanie dostępu do konta
Ćwiczenie: Katalog podstawowy/UserManagement/Resetowanie hasła użytkownika

Powrót do listy | anomalii UEBA Powrót do góry

Nietypowe uprawnienia przyznane

Opis: Osoby atakujące mogą dodawać poświadczenia kontrolowane przez przeciwników dla jednostek usługi platformy Azure oprócz istniejących wiarygodnych poświadczeń w celu utrzymania trwałego dostępu do kont platformy Azure ofiary.

Atrybut Wartość
Typ anomalii: UEBA
Źródła danych: Dzienniki inspekcji usługi Microsoft Entra
TAKTYKA MITRE ATT&CK: Trwałość
TECHNIKI MITRE ATT&CK: T1098 — manipulowanie kontem
Techniki podrzędne MITRE ATT&CK: Dodatkowe poświadczenia jednostki usługi platformy Azure
Ćwiczenie: Aprowizowanie konta/zarządzanie aplikacjami/Dodawanie przypisania roli aplikacji do jednostki usługi

Powrót do listy | anomalii UEBA Powrót do góry

Nietypowe logowanie

Opis: Przeciwnicy mogą ukraść poświadczenia określonego użytkownika lub konta usługi przy użyciu technik dostępu poświadczeń lub przechwycić poświadczenia wcześniej w procesie rekonesansu za pomocą inżynierii społecznej w celu uzyskania trwałości.

Atrybut Wartość
Typ anomalii: UEBA
Źródła danych: Dzienniki logowania w usłudze Microsoft Entra
dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Trwałość
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta
Ćwiczenie: Microsoft Entra ID: działanie logowania
Zabezpieczenia Windows: Pomyślne zalogowanie (identyfikator zdarzenia 4624)

Powrót do listy | anomalii UEBA Powrót do góry

Anomalie oparte na uczeniu maszynowym

Dostosowywalne anomalie oparte na uczeniu maszynowym w usłudze Microsoft Sentinel mogą identyfikować nietypowe zachowanie za pomocą szablonów reguł analitycznych, które można umieścić w odpowiednim czasie. Chociaż anomalie niekoniecznie wskazują złośliwe lub nawet podejrzane zachowanie, mogą służyć do ulepszania wykrywania, badania i wyszukiwania zagrożeń.

Nietypowe sesje logowania w usłudze Microsoft Entra

Opis: Model uczenia maszynowego grupuje dzienniki logowania firmy Microsoft dla poszczególnych użytkowników. Model jest trenowany w ciągu ostatnich 6 dni od zachowania logowania użytkownika. Wskazuje to nietypowe sesje logowania użytkownika w ciągu ostatniego dnia.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: Dzienniki logowania w usłudze Microsoft Entra
TAKTYKA MITRE ATT&CK: Dostęp początkowy
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta
T1566 — Wyłudzanie informacji
T1133 — zewnętrzne usługi zdalne

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Nietypowe operacje platformy Azure

Opis: Ten algorytm wykrywania zbiera dane o wartości 21 dni w operacjach platformy Azure pogrupowanych według użytkownika w celu wytrenowania tego modelu uczenia maszynowego. Następnie algorytm generuje anomalie w przypadku użytkowników, którzy wykonali sekwencje operacji rzadko w swoich obszarach roboczych. Wytrenowany model uczenia maszynowego ocenia operacje wykonywane przez użytkownika i uwzględnia nietypowe, których wynik jest większy niż zdefiniowany próg.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: Dzienniki aktywności platformy Azure
TAKTYKA MITRE ATT&CK: Dostęp początkowy
TECHNIKI MITRE ATT&CK: T1190 — Wykorzystanie aplikacji dostępnej publicznie

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Nietypowe wykonywanie kodu

Opis: Osoby atakujące mogą nadużywać interpreterów poleceń i skryptów w celu wykonywania poleceń, skryptów lub plików binarnych. Te interfejsy i języki zapewniają sposoby interakcji z systemami komputerowymi i są wspólną funkcją na wielu różnych platformach.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: Dzienniki aktywności platformy Azure
TAKTYKA MITRE ATT&CK: Wykonanie
TECHNIKI MITRE ATT&CK: T1059 — interpreter poleceń i skryptów

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Nietypowe tworzenie konta lokalnego

Opis: Ten algorytm wykrywa nietypowe tworzenie konta lokalnego w systemach Windows. Osoby atakujące mogą tworzyć konta lokalne, aby zachować dostęp do systemów docelowych. Ten algorytm analizuje działania tworzenia konta lokalnego w ciągu ostatnich 14 dni od użytkowników. Szuka podobnych działań w bieżącym dniu od użytkowników, którzy nie byli wcześniej widziani w działaniu historycznym. Możesz określić listę dozwolonych, aby filtrować znanych użytkowników z wyzwalania tej anomalii.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Trwałość
TECHNIKI MITRE ATT&CK: T1136 — Tworzenie konta

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Nietypowe działanie skanowania

Opis: Ten algorytm wyszukuje działanie skanowania portów pochodzące z jednego źródłowego adresu IP do co najmniej jednego docelowego adresu IP, które nie jest zwykle widoczne w danym środowisku.

Algorytm uwzględnia, czy adres IP jest publiczny/zewnętrzny, czy prywatny/wewnętrzny, a zdarzenie jest odpowiednio oznaczone. Obecnie rozważana jest tylko działalność prywatna-publiczna lub publiczna-prywatna. Działanie skanowania może wskazywać, że osoba atakująca próbuje określić dostępne usługi w środowisku, które mogą być potencjalnie wykorzystywane i używane do ruchu przychodzącego lub bocznego. Duża liczba portów źródłowych i duża liczba portów docelowych z jednego źródłowego adresu IP do jednego lub wielu docelowych adresów IP lub adresów IP może być interesująca i wskazywać na nietypowe skanowanie. Ponadto, jeśli istnieje wysoki stosunek adresów IP docelowych do pojedynczego źródłowego adresu IP, może to wskazywać na nietypowe skanowanie.

Szczegóły konfiguracji:

  • Domyślne uruchomienie zadania to codziennie z przedziałami godzinowymi.
    Algorytm używa następujących konfigurowalnych wartości domyślnych, aby ograniczyć wyniki na podstawie przedziałów godzinowych.
  • Uwzględnione akcje urządzenia — akceptowanie, zezwalanie, uruchamianie
  • Wykluczone porty — 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
  • Liczba unikatowych portów >docelowych = 600
  • Liczba unikatowych portów >źródłowych = 600
  • Liczba unikatowych portów źródłowych podzielona przez odrębny port docelowy, współczynnik przekonwertowany na procent >= 99,99
  • Źródłowy adres IP (zawsze 1) podzielony przez docelowy adres IP, współczynnik przekonwertowany na procent >= 99,99
Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet)
TAKTYKA MITRE ATT&CK: Odnajdowanie
TECHNIKI MITRE ATT&CK: T1046 — skanowanie usługi sieciowej

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Nietypowe działania użytkownika w programie Office Exchange

Opis: Ten model uczenia maszynowego grupuje dzienniki programu Office Exchange dla poszczególnych użytkowników w zasobnikach godzinowych. Definiujemy jedną godzinę jako sesję. Model jest trenowany w ciągu ostatnich 7 dni od wszystkich zwykłych (niebędących administratorami) użytkowników. Wskazuje on nietypowe sesje programu Office Exchange użytkownika w ciągu ostatniego dnia.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: Dziennik aktywności pakietu Office (Exchange)
TAKTYKA MITRE ATT&CK: Trwałość
Kolekcja
TECHNIKI MITRE ATT&CK: Kolekcja:
T1114 — Kolekcja wiadomości e-mail
T1213 — dane z repozytoriów informacji

Wytrwałość:
T1098 — manipulowanie kontem
T1136 — Tworzenie konta
T1137 — Uruchamianie aplikacji pakietu Office
T1505 — składnik oprogramowania serwera

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Nietypowe działania użytkowników/aplikacji w dziennikach inspekcji platformy Azure

Opis: Ten algorytm identyfikuje nietypowe sesje użytkownika/aplikacji platformy Azure w dziennikach inspekcji ostatniego dnia na podstawie zachowania z ostatnich 21 dni we wszystkich użytkownikach i aplikacjach. Algorytm sprawdza wystarczającą ilość danych przed rozpoczęciem trenowania modelu.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: Dzienniki inspekcji usługi Microsoft Entra
TAKTYKA MITRE ATT&CK: Kolekcja
Odnajdowanie
Dostęp początkowy
Trwałość
Eskalacja uprawnień
TECHNIKI MITRE ATT&CK: Kolekcja:
T1530 — dane z obiektu magazynu w chmurze

Odnajdywanie:
T1087 — odnajdywanie kont
T1538 — pulpit nawigacyjny usługi w chmurze
T1526 — Odnajdywanie usługi w chmurze
T1069 — odnajdywanie grup uprawnień
T1518 — Odnajdywanie oprogramowania

Dostęp początkowy:
T1190 — Wykorzystanie aplikacji dostępnej publicznie
T1078 — prawidłowe konta

Wytrwałość:
T1098 — manipulowanie kontem
T1136 — Tworzenie konta
T1078 — prawidłowe konta

Eskalacja uprawnień.
T1484 — modyfikacja zasad domeny
T1078 — prawidłowe konta

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Nietypowe działanie dzienników W3CIIS

Opis: Ten algorytm uczenia maszynowego wskazuje nietypowe sesje usług IIS w ciągu ostatniego dnia. Przechwytuje na przykład niezwykle dużą liczbę unikatowych zapytań identyfikatora URI, agentów użytkowników lub dzienników w sesji albo określonych czasowników HTTP lub stanów HTTP w sesji. Algorytm identyfikuje nietypowe zdarzenia W3CIISLog w ciągu godziny, pogrupowane według nazwy lokacji i adresu IP klienta. Model jest trenowany w ciągu ostatnich 7 dni działania usług IIS. Algorytm sprawdza wystarczającą ilość działań usług IIS przed wytreniem modelu.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: Dzienniki W3CIIS
TAKTYKA MITRE ATT&CK: Dostęp początkowy
Trwałość
TECHNIKI MITRE ATT&CK: Dostęp początkowy:
T1190 — Wykorzystanie aplikacji dostępnej publicznie

Wytrwałość:
T1505 — składnik oprogramowania serwera

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Nietypowe działanie żądania internetowego

Opis: Ten algorytm grupuje zdarzenia W3CIISLog na sesje godzinowe pogrupowane według nazwy witryny i identyfikatora URI stem. Model uczenia maszynowego identyfikuje sesje z niezwykle dużą liczbą żądań, które wyzwoliły kody odpowiedzi klasy 5xx w ciągu ostatniego dnia. Kody klasy 5xx wskazują, że część niestabilności aplikacji lub warunku błędu została wyzwolona przez żądanie. Może to wskazywać, że osoba atakująca sonduje identyfikator URI pod kątem luk w zabezpieczeniach i problemów z konfiguracją, wykonując pewne działania związane z wykorzystaniem wykorzystania, takie jak wstrzyknięcie kodu SQL, lub wykorzystując lukę w zabezpieczeniach bez poprawek. Ten algorytm używa 6 dni danych do trenowania.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: Dzienniki W3CIIS
TAKTYKA MITRE ATT&CK: Dostęp początkowy
Trwałość
TECHNIKI MITRE ATT&CK: Dostęp początkowy:
T1190 — Wykorzystanie aplikacji dostępnej publicznie

Wytrwałość:
T1505 — składnik oprogramowania serwera

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Podjęto próbę ataku siłowego komputera

Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych prób logowania (identyfikator zdarzenia zabezpieczeń 4625) na komputer w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Dostęp poświadczeń
TECHNIKI MITRE ATT&CK: T1110 — Siły brutalne

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Podjęto próbę ataku siłowego konta użytkownika

Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych prób logowania (identyfikator zdarzenia zabezpieczeń 4625) na konto użytkownika w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Dostęp poświadczeń
TECHNIKI MITRE ATT&CK: T1110 — Siły brutalne

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Podjęto próbę ataku siłowego konta użytkownika na typ logowania

Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych prób logowania (identyfikator zdarzenia zabezpieczeń 4625) na konto użytkownika na typ logowania w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Dostęp poświadczeń
TECHNIKI MITRE ATT&CK: T1110 — Siły brutalne

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Podjęto próbę ataku siłowego konta użytkownika na przyczynę niepowodzenia

Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych prób logowania (identyfikator zdarzenia zabezpieczeń 4625) na konto użytkownika na przyczynę niepowodzenia w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Dostęp poświadczeń
TECHNIKI MITRE ATT&CK: T1110 — Siły brutalne

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Wykrywanie zachowania sygnału nawigacyjnego wygenerowanego przez maszynę

Opis: Ten algorytm identyfikuje wzorce sygnałów nawigacyjnych z dzienników połączeń ruchu sieciowego na podstawie cyklicznych wzorców różnic czasu. Każde połączenie sieciowe w niezaufanych sieciach publicznych w powtarzającym się czasie różnice wskazuje na wywołania zwrotne złośliwego oprogramowania lub próby eksfiltracji danych. Algorytm obliczy różnicę czasu między kolejnymi połączeniami sieciowymi między tym samym źródłowym adresem IP i docelowym adresem IP, a także liczbą połączeń w sekwencji różnic czasowej między tymi samymi źródłami i miejscami docelowymi. Wartość procentowa sygnału nawigacyjnego jest obliczana jako połączenia w sekwencji różnic czasu względem łącznej liczby połączeń w ciągu dnia.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: CommonSecurityLog (PAN)
TAKTYKA MITRE ATT&CK: Sterowanie i kontrola
TECHNIKI MITRE ATT&CK: T1071 — Protokół warstwy aplikacji
T1132 — kodowanie danych
T1001 — zaciemnianie danych
T1568 — rozdzielczość dynamiczna
T1573 — szyfrowany kanał
T1008 — kanały rezerwowe
T1104 — kanały wieloetapowe
T1095 — protokół warstwy aplikacji nienależące do aplikacji
T1571 — port inny niż standardowy
T1572 — tunelowanie protokołu
T1090 — serwer proxy
T1205 — Sygnalizacja ruchu
T1102 — usługa sieci Web

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Algorytm generowania domeny (DGA) w domenach DNS

Opis: Ten model uczenia maszynowego wskazuje potencjalne domeny DGA z ostatniego dnia w dziennikach DNS. Algorytm dotyczy rekordów DNS rozpoznawanych jako adresy IPv4 i IPv6.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: Zdarzenia DNS
TAKTYKA MITRE ATT&CK: Sterowanie i kontrola
TECHNIKI MITRE ATT&CK: T1568 — rozdzielczość dynamiczna

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Reputacja domeny Palo Alto anomalii (PRZERWANE)

Opis: Ten algorytm ocenia reputację wszystkich domen widocznych specjalnie w dziennikach produktu Palo Alto firewall (PAN-OS). Wysoki wynik anomalii wskazuje niską reputację, co sugeruje, że domena została zaobserwowana w celu hostowania złośliwej zawartości lub może to zrobić.

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Nadmierna anomalia transferu danych

Opis: Ten algorytm wykrywa nietypowo wysoki transfer danych obserwowany w dziennikach sieciowych. Używa szeregów czasowych do rozkładania danych na składniki sezonowe, trendu i reszt w celu obliczenia planu bazowego. Każde nagłe duże odchylenie od historycznego punktu odniesienia jest uznawane za nietypowe działanie.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet)
TAKTYKA MITRE ATT&CK: Wyprowadzanie
TECHNIKI MITRE ATT&CK: T1030 — limity rozmiaru transferu danych
T1041 — Eksfiltracja przez kanał C2
T1011 — eksfiltracja za pośrednictwem innego medium sieciowego
T1567 — eksfiltracja za pośrednictwem usługi internetowej
T1029 — Zaplanowany transfer
T1537 — transfer danych na konto w chmurze

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Nadmierne pobieranie za pośrednictwem aplikacji Palo Alto GlobalProtect

Opis: Ten algorytm wykrywa niezwykle dużą ilość pobierania na konto użytkownika za pośrednictwem rozwiązania Palo Alto VPN. Model jest trenowany w ciągu ostatnich 14 dni dzienników sieci VPN. Wskazuje to nietypowe duże ilości pobrań w ciągu ostatniego dnia.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: CommonSecurityLog (PAN VPN)
TAKTYKA MITRE ATT&CK: Wyprowadzanie
TECHNIKI MITRE ATT&CK: T1030 — limity rozmiaru transferu danych
T1041 — Eksfiltracja przez kanał C2
T1011 — eksfiltracja za pośrednictwem innego medium sieciowego
T1567 — eksfiltracja za pośrednictwem usługi internetowej
T1029 — Zaplanowany transfer
T1537 — transfer danych na konto w chmurze

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Nadmierne przekazywanie za pośrednictwem aplikacji Palo Alto GlobalProtect

Opis: Ten algorytm wykrywa niezwykle dużą ilość przekazywania na konto użytkownika za pośrednictwem rozwiązania Palo Alto VPN. Model jest trenowany w ciągu ostatnich 14 dni dzienników sieci VPN. Wskazuje on nietypowy duży wolumen przekazywania w ciągu ostatniego dnia.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: CommonSecurityLog (PAN VPN)
TAKTYKA MITRE ATT&CK: Wyprowadzanie
TECHNIKI MITRE ATT&CK: T1030 — limity rozmiaru transferu danych
T1041 — Eksfiltracja przez kanał C2
T1011 — eksfiltracja za pośrednictwem innego medium sieciowego
T1567 — eksfiltracja za pośrednictwem usługi internetowej
T1029 — Zaplanowany transfer
T1537 — transfer danych na konto w chmurze

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Zaloguj się z nietypowego regionu za pośrednictwem logowań konta Palo Alto GlobalProtect

Opis: Po zalogowaniu się konta Palo Alto GlobalProtect z regionu źródłowego, który rzadko był zalogowany z ostatnich 14 dni, jest wyzwalana anomalia. Ta anomalia może wskazywać, że konto zostało naruszone.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: CommonSecurityLog (PAN VPN)
TAKTYKA MITRE ATT&CK: Dostęp poświadczeń
Dostęp początkowy
Ruch poprzeczny
TECHNIKI MITRE ATT&CK: T1133 — zewnętrzne usługi zdalne

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Logowania w wielu regionach w ciągu jednego dnia za pośrednictwem aplikacji Palo Alto GlobalProtect (PRZERWANE)

Opis: Ten algorytm wykrywa konto użytkownika, które miało logowania z wielu nieprzyległych regionów w ciągu jednego dnia za pośrednictwem sieci VPN Palo Alto.

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Potencjalne przemieszczanie danych

Opis: Ten algorytm porównuje pobieranie różnych plików na podstawie poszczególnych użytkowników z pobieraniem dla bieżącego dnia dla każdego użytkownika, a anomalia jest wyzwalana, gdy liczba pobrań odrębnych plików przekracza skonfigurowaną liczbę odchyleń standardowych powyżej średniej. Obecnie algorytm analizuje tylko pliki często występujące podczas eksfiltracji dokumentów, obrazów, filmów wideo i archiwów za pomocą rozszerzeń doc, mp3pptpptxxlsmonexlsxpdfzipxlsdocxbmpjpgrarmp4i .mov

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: Dziennik aktywności pakietu Office (Exchange)
TAKTYKA MITRE ATT&CK: Kolekcja
TECHNIKI MITRE ATT&CK: T1074 — Etap danych

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Potencjalny algorytm generowania domeny (DGA) w domenach DNS na następnym poziomie

Opis: Ten model uczenia maszynowego wskazuje domeny następnego poziomu (trzeci poziom i wyższy) nazw domen z ostatniego dnia dzienników DNS, które są nietypowe. Potencjalnie mogą to być dane wyjściowe algorytmu generowania domeny (DGA). Anomalia dotyczy rekordów DNS rozpoznawanych jako adresy IPv4 i IPv6.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: Zdarzenia DNS
TAKTYKA MITRE ATT&CK: Sterowanie i kontrola
TECHNIKI MITRE ATT&CK: T1568 — rozdzielczość dynamiczna

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Podejrzana zmiana lokalizacji geograficznej w identyfikatorach logowania do konta Palo Alto GlobalProtect

Opis: Dopasowanie wskazuje, że użytkownik zalogował się zdalnie z kraju/regionu innego niż kraj/region ostatniego zdalnego logowania użytkownika. Ta reguła może również wskazywać na naruszenie zabezpieczeń konta, szczególnie jeśli reguła jest ściśle zgodna z czasem. Obejmuje to scenariusz niemożliwej podróży.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: CommonSecurityLog (PAN VPN)
TAKTYKA MITRE ATT&CK: Dostęp początkowy
Dostęp poświadczeń
TECHNIKI MITRE ATT&CK: T1133 — zewnętrzne usługi zdalne
T1078 — prawidłowe konta

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Podejrzana liczba chronionych dokumentów, do których uzyskiwano dostęp

Opis: Ten algorytm wykrywa dużą liczbę dostępu do chronionych dokumentów w dziennikach usługi Azure Information Protection (AIP). Uwzględnia on rekordy obciążenia usługi AIP dla danej liczby dni i określa, czy użytkownik wykonał nietypowy dostęp do chronionych dokumentów w ciągu dnia danego zachowania historycznego.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: Dzienniki usługi Azure Information Protection
TAKTYKA MITRE ATT&CK: Kolekcja
TECHNIKI MITRE ATT&CK: T1530 — dane z obiektu magazynu w chmurze
T1213 — dane z repozytoriów informacji
T1005 — dane z systemu lokalnego
T1039 — dane z dysku udostępnionego sieciowego
T1114 — Kolekcja wiadomości e-mail

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Podejrzana liczba wywołań interfejsu API platformy AWS ze źródłowego adresu IP innego niż AWS

Opis: Ten algorytm wykrywa niezwykle dużą liczbę wywołań interfejsu API platformy AWS na konto użytkownika na obszar roboczy z źródłowych adresów IP spoza źródłowych zakresów adresów IP platformy AWS w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni zdarzeń dziennika platformy AWS CloudTrail według źródłowego adresu IP. To działanie może wskazywać, że konto użytkownika zostało naruszone.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: Dzienniki usługi CLOUDTrail platformy AWS
TAKTYKA MITRE ATT&CK: Dostęp początkowy
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Podejrzana liczba zdarzeń dziennika usługi AWS CloudTrail konta użytkownika grupy według eventTypeName

Opis: Ten algorytm wykrywa niezwykle dużą liczbę zdarzeń na konto użytkownika grupy według różnych typów zdarzeń (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction), w dzienniku platformy AWS CloudTrail w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni zdarzeń dziennika usługi AWS CloudTrail według konta użytkownika grupy. To działanie może wskazywać, że konto zostało naruszone.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: Dzienniki usługi CLOUDTrail platformy AWS
TAKTYKA MITRE ATT&CK: Dostęp początkowy
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Podejrzana liczba wywołań interfejsu API zapisu platformy AWS z konta użytkownika

Opis: Ten algorytm wykrywa niezwykle dużą liczbę wywołań interfejsu API zapisu platformy AWS na konto użytkownika w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni zdarzeń dziennika usługi AWS CloudTrail według konta użytkownika. To działanie może wskazywać, że konto zostało naruszone.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: Dzienniki usługi CLOUDTrail platformy AWS
TAKTYKA MITRE ATT&CK: Dostęp początkowy
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Podejrzana liczba nieudanych prób logowania do konsoli platformy AWS przez każde konto użytkownika grupy

Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych prób logowania do konsoli platformy AWS na konto użytkownika grupy w dzienniku platformy AWS CloudTrail w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni zdarzeń dziennika usługi AWS CloudTrail według konta użytkownika grupy. To działanie może wskazywać, że konto zostało naruszone.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: Dzienniki usługi CLOUDTrail platformy AWS
TAKTYKA MITRE ATT&CK: Dostęp początkowy
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Podejrzana liczba nieudanych prób logowania do konsoli platformy AWS według każdego źródłowego adresu IP

Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych zdarzeń logowania do konsoli platformy AWS na źródłowy adres IP w dzienniku awS CloudTrail w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni zdarzeń dziennika platformy AWS CloudTrail według źródłowego adresu IP. To działanie może wskazywać, że naruszono bezpieczeństwo adresu IP.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: Dzienniki usługi CLOUDTrail platformy AWS
TAKTYKA MITRE ATT&CK: Dostęp początkowy
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Podejrzana liczba logowań na komputerze

Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) na komputer w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Dostęp początkowy
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Podejrzana liczba logowań na komputerze z podwyższonym poziomem uprawnień

Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) z uprawnieniami administracyjnymi na komputer w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Dostęp początkowy
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Podejrzana liczba logowań do konta użytkownika

Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) na konto użytkownika w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Dostęp początkowy
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Podejrzana liczba logowań do konta użytkownika według typów logowania

Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) na konto użytkownika według różnych typów logowania w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Dostęp początkowy
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Podejrzana liczba logowań do konta użytkownika z podwyższonym poziomem uprawnień

Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) z uprawnieniami administracyjnymi na konto użytkownika w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: dzienniki Zabezpieczenia Windows
TAKTYKA MITRE ATT&CK: Dostęp początkowy
TECHNIKI MITRE ATT&CK: T1078 — prawidłowe konta

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Wykryto nietypowy zewnętrzny alarm zapory

Opis: Ten algorytm identyfikuje nietypowe zewnętrzne alarmy zapory, które są sygnaturami zagrożenia wydanymi przez dostawcę zapory. Używa on działań z ostatnich 7 dni, aby obliczyć 10 najbardziej wyzwalanych podpisów i 10 hostów, które wyzwoliły najwięcej podpisów. Po wyłączeniu obu typów hałaśliwych zdarzeń wyzwala anomalię dopiero po przekroczeniu progu liczby podpisów wyzwolonych w ciągu jednego dnia.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: CommonSecurityLog (PAN)
TAKTYKA MITRE ATT&CK: Odnajdowanie
Sterowanie i kontrola
TECHNIKI MITRE ATT&CK: Odnajdywanie:
T1046 — skanowanie usługi sieciowej
T1135 — Odnajdywanie udziału sieciowego

Polecenia i kontrolka:
T1071 — Protokół warstwy aplikacji
T1095 — protokół warstwy aplikacji nienależące do aplikacji
T1571 — port inny niż standardowy

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Niezwykła masowa obniżanie etykiety usługi AIP

Opis: Ten algorytm wykrywa nietypowo dużą liczbę działań etykiet na starszą dół w dziennikach usługi Azure Information Protection (AIP). Uwzględnia ona rekordy obciążenia "AIP" dla danej liczby dni i określa sekwencję działań wykonywanych na dokumentach wraz z etykietą zastosowaną do klasyfikowania nietypowej liczby działań obniżania poziomu.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: Dzienniki usługi Azure Information Protection
TAKTYKA MITRE ATT&CK: Kolekcja
TECHNIKI MITRE ATT&CK: T1530 — dane z obiektu magazynu w chmurze
T1213 — dane z repozytoriów informacji
T1005 — dane z systemu lokalnego
T1039 — dane z dysku udostępnionego sieciowego
T1114 — Kolekcja wiadomości e-mail

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Nietypowa komunikacja sieciowa na często używanych portach

Opis: Ten algorytm identyfikuje nietypową komunikację sieciową na powszechnie używanych portach, porównując dzienny ruch z punktem odniesienia z poprzednich 7 dni. Obejmuje to ruch na powszechnie używanych portach (22, 53, 80, 443, 8080, 8888) i porównuje dzienny ruch ze średnią i odchylenie standardowe kilku atrybutów ruchu sieciowego obliczonych w okresie bazowym. Uwzględniane atrybuty ruchu to dzienne zdarzenia całkowite, codzienny transfer danych i liczba unikatowych źródłowych adresów IP na port. Anomalia jest wyzwalana, gdy wartości dzienne są większe niż skonfigurowana liczba odchyleń standardowych powyżej średniej.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet)
TAKTYKA MITRE ATT&CK: Sterowanie i kontrola
Wyprowadzanie
TECHNIKI MITRE ATT&CK: Polecenia i kontrolka:
T1071 — Protokół warstwy aplikacji

Wyprowadzanie.
T1030 — limity rozmiaru transferu danych

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Anomalia nietypowego woluminu sieciowego

Opis: Ten algorytm wykrywa niezwykle dużą liczbę połączeń w dziennikach sieciowych. Używa szeregów czasowych do rozkładania danych na składniki sezonowe, trendu i reszt w celu obliczenia planu bazowego. Każde nagłe duże odchylenie od historycznego punktu odniesienia jest uznawane za nietypowe działanie.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet)
TAKTYKA MITRE ATT&CK: Wyprowadzanie
TECHNIKI MITRE ATT&CK: T1030 — limity rozmiaru transferu danych

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Wykryto nietypowy ruch internetowy z adresem IP w ścieżce adresu URL

Opis: Ten algorytm identyfikuje nietypowe żądania internetowe zawierające adres IP jako hosta. Algorytm wyszukuje wszystkie żądania internetowe z adresami IP w ścieżce adresu URL i porównuje je z poprzednim tygodniem danych, aby wykluczyć znany ruch łagodny. Po wyłączeniu znanego łagodnego ruchu wyzwala anomalię dopiero po przekroczeniu określonych progów ze skonfigurowanymi wartościami, takimi jak łączna liczba żądań internetowych, liczba adresów URL widocznych w tym samym docelowym adresie IP hosta i liczba unikatowych adresów IP źródłowych w zestawie adresów URL z tym samym docelowym adresem IP. Ten typ żądania może wskazywać na próbę obejścia usług reputacji adresów URL w złośliwych celach.

Atrybut Wartość
Typ anomalii: Możliwość dostosowywania uczenia maszynowego
Źródła danych: CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet)
TAKTYKA MITRE ATT&CK: Sterowanie i kontrola
Dostęp początkowy
TECHNIKI MITRE ATT&CK: Polecenia i kontrolka:
T1071 — Protokół warstwy aplikacji

Dostęp początkowy:
T1189 — naruszenie dysku przez

Powrót do listy | anomalii opartych na uczeniu maszynowym Powrót do góry

Następne kroki