Avvikelser som identifierats av Maskininlärningsmotorn i Microsoft Sentinel
I den här artikeln visas de avvikelser som Microsoft Sentinel identifierar med hjälp av olika maskininlärningsmodeller.
Avvikelseidentifiering fungerar genom att analysera beteendet för användare i en miljö under en viss tidsperiod och skapa en baslinje för legitim aktivitet. När baslinjen har upprättats anses alla aktiviteter utanför de normala parametrarna vara avvikande och därför misstänkta.
Microsoft Sentinel använder två olika modeller för att skapa baslinjer och identifiera avvikelser.
Kommentar
Följande avvikelseidentifieringar upphör från och med den 26 mars 2024 på grund av låg resultatkvalitet:
- Domänrykte Palo Alto-avvikelse
- Inloggningar i flera regioner på en enda dag via Palo Alto GlobalProtect
Viktigt!
Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
UEBA-avvikelser
Sentinel UEBA identifierar avvikelser baserat på dynamiska baslinjer som skapats för varje entitet över olika dataindata. Varje entitets baslinjebeteende anges enligt dess egna historiska aktiviteter, dess peer-aktiviteter och organisationens som helhet. Avvikelser kan utlösas av korrelationen mellan olika attribut, till exempel åtgärdstyp, geo-plats, enhet, resurs, ISP med mera.
Du måste aktivera UEBA-funktionen för att UEBA-avvikelser ska kunna identifieras.
- Borttagning av avvikande kontoåtkomst
- Skapande av avvikande konto
- Borttagning av avvikande konto
- Avvikande kontomanipulering
- Avvikande kodkörning (UEBA)
- Avvikande dataförstörelse
- Ändring av avvikande defensiv mekanism
- Avvikande misslyckad inloggning
- Avvikande lösenordsåterställning
- Avvikande behörighet beviljad
- Avvikande inloggning
Borttagning av avvikande kontoåtkomst
Beskrivning: En angripare kan avbryta tillgängligheten för system- och nätverksresurser genom att blockera åtkomsten till konton som används av legitima användare. Angriparen kan ta bort, låsa eller manipulera ett konto (till exempel genom att ändra autentiseringsuppgifterna) för att ta bort åtkomsten till det.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | UEBA |
| Datakällor: | Azure-aktivitetsloggar |
| MITRE ATT&CK-taktik: | Påverkan |
| MITRE ATT&CK-tekniker: | T1531 – Borttagning av kontoåtkomst |
| Aktivitet: | Microsoft.Authorization/roleAssignments/delete Logga ut |
Tillbaka till UEBA-avvikelser lista | Tillbaka till toppen
Skapande av avvikande konto
Beskrivning: Angripare kan skapa ett konto för att upprätthålla åtkomsten till målsystem. Med en tillräcklig åtkomstnivå kan du skapa sådana konton för att upprätta sekundär åtkomst med autentiseringsuppgifter utan att kräva att beständiga fjärråtkomstverktyg distribueras i systemet.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | UEBA |
| Datakällor: | Microsoft Entra-granskningsloggar |
| MITRE ATT&CK-taktik: | Bevarande |
| MITRE ATT&CK-tekniker: | T1136 – Skapa konto |
| MITRE ATT&CK-undertekniker: | Molnkonto |
| Aktivitet: | Core Directory/UserManagement/Lägg till användare |
Tillbaka till UEBA-avvikelser lista | Tillbaka till toppen
Borttagning av avvikande konto
Beskrivning: Angripare kan avbryta tillgängligheten för system- och nätverksresurser genom att hindra åtkomsten till konton som används av legitima användare. Konton kan tas bort, låsas eller manipuleras (t.ex. ändrade autentiseringsuppgifter) för att ta bort åtkomst till konton.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | UEBA |
| Datakällor: | Microsoft Entra-granskningsloggar |
| MITRE ATT&CK-taktik: | Påverkan |
| MITRE ATT&CK-tekniker: | T1531 – Borttagning av kontoåtkomst |
| Aktivitet: | Core Directory/UserManagement/Delete-användare Core Directory/Device/Delete-användare Core Directory/UserManagement/Delete-användare |
Tillbaka till UEBA-avvikelser lista | Tillbaka till toppen
Avvikande kontomanipulering
Beskrivning: Angripare kan manipulera konton för att upprätthålla åtkomsten till målsystem. Dessa åtgärder omfattar att lägga till nya konton i högprivilegierade grupper. Dragonfly 2.0 har till exempel lagt till nyligen skapade konton i administratörsgruppen för att upprätthålla förhöjd åtkomst. Frågan nedan genererar utdata från alla användare med hög blastradie som utför "Uppdatera användare" (namnändring) till privilegierad roll eller som ändrade användare för första gången.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | UEBA |
| Datakällor: | Microsoft Entra-granskningsloggar |
| MITRE ATT&CK-taktik: | Bevarande |
| MITRE ATT&CK-tekniker: | T1098 – Kontomanipulering |
| Aktivitet: | Core Directory/UserManagement/Update-användare |
Tillbaka till UEBA-avvikelser lista | Tillbaka till toppen
Avvikande kodkörning (UEBA)
Beskrivning: Angripare kan missbruka kommando- och skripttolkar för att köra kommandon, skript eller binärfiler. Dessa gränssnitt och språk ger sätt att interagera med datorsystem och är en vanlig funktion på många olika plattformar.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | UEBA |
| Datakällor: | Azure-aktivitetsloggar |
| MITRE ATT&CK-taktik: | Körnings- |
| MITRE ATT&CK-tekniker: | T1059 – Tolk för kommando och skript |
| MITRE ATT&CK-undertekniker: | PowerShell |
| Aktivitet: | Microsoft.Compute/virtualMachines/runCommand/action |
Tillbaka till UEBA-avvikelser lista | Tillbaka till toppen
Avvikande dataförstörelse
Beskrivning: Angripare kan förstöra data och filer på specifika system eller i stort antal i ett nätverk för att avbryta tillgängligheten till system, tjänster och nätverksresurser. Dataförstörelse kommer sannolikt att göra lagrade data oåterkalleliga genom kriminaltekniska tekniker genom att skriva över filer eller data på lokala enheter och fjärrenheter.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | UEBA |
| Datakällor: | Azure-aktivitetsloggar |
| MITRE ATT&CK-taktik: | Påverkan |
| MITRE ATT&CK-tekniker: | T1485 – Dataförstörelse |
| Aktivitet: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Tillbaka till UEBA-avvikelser lista | Tillbaka till toppen
Ändring av avvikande defensiv mekanism
Beskrivning: Angripare kan inaktivera säkerhetsverktyg för att undvika att deras verktyg och aktiviteter identifieras.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | UEBA |
| Datakällor: | Azure-aktivitetsloggar |
| MITRE ATT&CK-taktik: | Försvarsundandragande |
| MITRE ATT&CK-tekniker: | T1562 – Försämra försvar |
| MITRE ATT&CK-undertekniker: | Inaktivera eller ändra verktyg Inaktivera eller ändra molnbrandväggen |
| Aktivitet: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Tillbaka till UEBA-avvikelser lista | Tillbaka till toppen
Avvikande misslyckad inloggning
Beskrivning: Angripare utan förkunskaper om legitima autentiseringsuppgifter i systemet eller miljön kan gissa lösenord för att försöka komma åt konton.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | UEBA |
| Datakällor: | Inloggningsloggar för Microsoft Entra Windows-säkerhet loggar |
| MITRE ATT&CK-taktik: | Åtkomst till autentiseringsuppgifter |
| MITRE ATT&CK-tekniker: | T1110 – Brute Force |
| Aktivitet: | Microsoft Entra-ID: Inloggningsaktivitet Windows-säkerhet: Misslyckad inloggning (händelse-ID 4625) |
Tillbaka till UEBA-avvikelser lista | Tillbaka till toppen
Avvikande lösenordsåterställning
Beskrivning: Angripare kan avbryta tillgängligheten för system- och nätverksresurser genom att hindra åtkomsten till konton som används av legitima användare. Konton kan tas bort, låsas eller manipuleras (t.ex. ändrade autentiseringsuppgifter) för att ta bort åtkomst till konton.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | UEBA |
| Datakällor: | Microsoft Entra-granskningsloggar |
| MITRE ATT&CK-taktik: | Påverkan |
| MITRE ATT&CK-tekniker: | T1531 – Borttagning av kontoåtkomst |
| Aktivitet: | Core Directory/UserManagement/Återställning av användarlösenord |
Tillbaka till UEBA-avvikelser lista | Tillbaka till toppen
Avvikande behörighet beviljad
Beskrivning: Angripare kan lägga till autentiseringsuppgifter som styrs av en angripare för Azure Service Principals utöver befintliga legitima autentiseringsuppgifter för att upprätthålla beständig åtkomst till azure-konton för offer.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | UEBA |
| Datakällor: | Microsoft Entra-granskningsloggar |
| MITRE ATT&CK-taktik: | Bevarande |
| MITRE ATT&CK-tekniker: | T1098 – Kontomanipulering |
| MITRE ATT&CK-undertekniker: | Ytterligare autentiseringsuppgifter för Azure-tjänstens huvudnamn |
| Aktivitet: | Kontoetablering/Programhantering/Lägg till approlltilldelning till tjänstens huvudnamn |
Tillbaka till UEBA-avvikelser lista | Tillbaka till toppen
Avvikande inloggning
Beskrivning: Angripare kan stjäla autentiseringsuppgifterna för ett specifikt användar- eller tjänstkonto med hjälp av tekniker för åtkomst till autentiseringsuppgifter eller samla in autentiseringsuppgifter tidigare i sin rekognoseringsprocess via social teknik för att få beständighet.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | UEBA |
| Datakällor: | Inloggningsloggar för Microsoft Entra Windows-säkerhet loggar |
| MITRE ATT&CK-taktik: | Bevarande |
| MITRE ATT&CK-tekniker: | T1078 – Giltiga konton |
| Aktivitet: | Microsoft Entra-ID: Inloggningsaktivitet Windows-säkerhet: Lyckad inloggning (händelse-ID 4624) |
Tillbaka till UEBA-avvikelser lista | Tillbaka till toppen
Maskininlärningsbaserade avvikelser
Microsoft Sentinels anpassningsbara, maskininlärningsbaserade avvikelser kan identifiera avvikande beteende med analysregelmallar som kan sättas att fungera direkt. Avvikelser indikerar inte nödvändigtvis skadligt eller till och med misstänkt beteende på sig själva, men de kan användas för att förbättra identifieringar, undersökningar och hotjakt.
- Avvikande Microsoft Entra-inloggningssessioner
- Avvikande Azure-åtgärder
- Körning av avvikande kod
- Skapande av avvikande lokalt konto
- Avvikande genomsökningsaktivitet
- Avvikande användaraktiviteter i Office Exchange
- Avvikande användar-/appaktiviteter i Azure-granskningsloggar
- Avvikande W3CIIS-loggaktivitet
- Avvikande webbbegärandeaktivitet
- Försök till dator brute force
- Försök till brute force för användarkonto
- Försök till brute force för användarkonto per inloggningstyp
- Försök till råstyrkeförsök för användarkontot per felorsak
- Identifiera beteende för datorgenererade nätverkssignaler
- Domängenereringsalgoritm (DGA) på DNS-domäner
- Domänrykte Palo Alto-avvikelse (UPPHÖRD)
- Överdriven dataöverföringsavvikelse
- Överdriven nedladdning via Palo Alto GlobalProtect
- Överdrivna uppladdningar via Palo Alto GlobalProtect
- Logga in från en ovanlig region via Palo Alto GlobalProtect-kontoinloggningar
- Inloggningar i flera regioner under en enda dag via Palo Alto GlobalProtect (UTGÅENDE)
- Potentiell datalagring
- Potentiell algoritm för domängenerering (DGA) på dns-domäner på nästa nivå
- Misstänkt geografiändring i Palo Alto GlobalProtect-kontoinloggningar
- Misstänkt antal skyddade dokument som används
- Misstänkt volym av AWS API-anrop från IP-adress för icke-AWS-källa
- Misstänkt volym av AWS CloudTrail-logghändelser för gruppanvändarkonto av EventTypeName
- Misstänkt volym av AWS-skrivnings-API-anrop från ett användarkonto
- Misstänkt volym av misslyckade inloggningsförsök till AWS-konsolen för varje gruppanvändarkonto
- Misstänkt volym av misslyckade inloggningsförsök till AWS-konsolen efter varje käll-IP-adress
- Misstänkt volym av inloggningar till datorn
- Misstänkt volym av inloggningar till datorn med upphöjd token
- Misstänkt volym av inloggningar till användarkonto
- Misstänkt volym av inloggningar till användarkonto efter inloggningstyper
- Misstänkt volym av inloggningar till användarkonto med upphöjd token
- Ovanligt externt brandväggslarm har identifierats
- Ovanlig massnedgradering av AIP-etikett
- Ovanlig nätverkskommunikation på vanliga portar
- Ovanlig avvikelse för nätverksvolym
- Ovanlig webbtrafik identifierad med IP i URL-sökvägen
Avvikande Microsoft Entra-inloggningssessioner
Beskrivning: Maskininlärningsmodellen grupperar Inloggningsloggarna för Microsoft Entra per användare. Modellen tränas på de senaste 6 dagarnas användarinloggningsbeteende. Det anger avvikande användarinloggningssessioner under den senaste dagen.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | Inloggningsloggar för Microsoft Entra |
| MITRE ATT&CK-taktik: | Inledande åtkomst |
| MITRE ATT&CK-tekniker: | T1078 – Giltiga konton T1566 – Nätfiske T1133 – Externa fjärrtjänster |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Avvikande Azure-åtgärder
Beskrivning: Den här identifieringsalgoritmen samlar in 21 dagars data om Azure-åtgärder grupperade efter användare för att träna den här ML-modellen. Algoritmen genererar sedan avvikelser när det gäller användare som utförde sekvenser av åtgärder som är ovanliga i deras arbetsytor. Den tränade ML-modellen poängsätter de åtgärder som utförs av användaren och betraktar avvikande de vars poäng är större än det definierade tröskelvärdet.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | Azure-aktivitetsloggar |
| MITRE ATT&CK-taktik: | Inledande åtkomst |
| MITRE ATT&CK-tekniker: | T1190 – Utnyttja offentligt program |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Körning av avvikande kod
Beskrivning: Angripare kan missbruka kommando- och skripttolkar för att köra kommandon, skript eller binärfiler. Dessa gränssnitt och språk ger sätt att interagera med datorsystem och är en vanlig funktion på många olika plattformar.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | Azure-aktivitetsloggar |
| MITRE ATT&CK-taktik: | Körnings- |
| MITRE ATT&CK-tekniker: | T1059 – Tolk för kommando och skript |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Skapande av avvikande lokalt konto
Beskrivning: Den här algoritmen identifierar skapande av avvikande lokala konton i Windows-system. Angripare kan skapa lokala konton för att upprätthålla åtkomsten till målsystem. Den här algoritmen analyserar aktiviteten för att skapa lokala konton under de senaste 14 dagarna av användare. Den söker efter liknande aktivitet den aktuella dagen från användare som inte tidigare setts i historisk aktivitet. Du kan ange en allowlist för att filtrera kända användare från att utlösa den här avvikelsen.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | Windows-säkerhet loggar |
| MITRE ATT&CK-taktik: | Bevarande |
| MITRE ATT&CK-tekniker: | T1136 – Skapa konto |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Avvikande genomsökningsaktivitet
Beskrivning: Den här algoritmen söker efter portgenomsökningsaktivitet som kommer från en enda käll-IP-adress till en eller flera mål-IP-adresser som normalt inte visas i en viss miljö.
Algoritmen tar hänsyn till om IP-adressen är offentlig/extern eller privat/intern och händelsen markeras därefter. Endast privat-till-offentlig eller offentlig-till-privat-verksamhet beaktas för närvarande. Genomsökningsaktivitet kan indikera att en angripare försöker fastställa tillgängliga tjänster i en miljö som kan utnyttjas och användas för inkommande eller lateral förflyttning. Ett stort antal källportar och ett stort antal målportar från en enda käll-IP-adress till antingen en enda eller flera mål-IP-adresser eller IP-adresser kan vara intressanta och indikera avvikande genomsökning. Om det finns ett högt förhållande mellan mål-IP-adresser och ip-adressen för en enda källa kan detta dessutom tyda på avvikande genomsökning.
Konfigurationsinformation:
- Standardvärdet för jobbkörning är dagligen, med intervall per timme.
Algoritmen använder följande konfigurerbara standardvärden för att begränsa resultatet baserat på intervall per timme. - Inkluderade enhetsåtgärder – acceptera, tillåta, starta
- Undantagna portar - 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
- Distinkt målportantal >= 600
- Distinkt källportantal >= 600
- Distinkt källportantal dividerat med distinkt målport, förhållande konverterat till procent >= 99,99
- Käll-IP (alltid 1) dividerat med mål-IP, förhållande konverterat till procent >= 99,99
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| MITRE ATT&CK-taktik: | Identifiering |
| MITRE ATT&CK-tekniker: | T1046 – Genomsökning av nätverkstjänst |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Avvikande användaraktiviteter i Office Exchange
Beskrivning: Den här maskininlärningsmodellen grupperar Office Exchange-loggarna per användare i bucketar per timme. Vi definierar en timme som en session. Modellen tränas på de senaste 7 dagarnas beteende för alla vanliga (icke-administratörs)användare. Det anger avvikande Office Exchange-sessioner för användaren under den senaste dagen.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | Office-aktivitetslogg (Exchange) |
| MITRE ATT&CK-taktik: | Bevarande Samling |
| MITRE ATT&CK-tekniker: | Samling: T1114 – E-postsamling T1213 – Data från informationslagringsplatser Ståndaktighet: T1098 – Kontomanipulering T1136 – Skapa konto T1137 – Start av Office-program T1505 – Komponent för serverprogramvara |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Avvikande användar-/appaktiviteter i Azure-granskningsloggar
Beskrivning: Den här algoritmen identifierar avvikande användar-/app-Azure-sessioner i granskningsloggar för den senaste dagen, baserat på beteendet för de senaste 21 dagarna för alla användare och appar. Algoritmen söker efter tillräckligt med datavolym innan modellen tränas.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | Microsoft Entra-granskningsloggar |
| MITRE ATT&CK-taktik: | Samling Identifiering Inledande åtkomst Bevarande Privilegieeskalering |
| MITRE ATT&CK-tekniker: | Samling: T1530 – Data från molnlagringsobjekt Identifiering: T1087 – Kontoidentifiering T1538 – Instrumentpanel för molntjänsten T1526 – Cloud Service Discovery T1069 – Identifiering av behörighetsgrupper T1518 – Programvaruidentifiering Inledande åtkomst: T1190 – Utnyttja offentligt program T1078 – Giltiga konton Ståndaktighet: T1098 – Kontomanipulering T1136 – Skapa konto T1078 – Giltiga konton Privilegieeskalering: T1484 – Ändring av domänprincip T1078 – Giltiga konton |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Avvikande W3CIIS-loggaktivitet
Beskrivning: Den här maskininlärningsalgoritmen anger avvikande IIS-sessioner under den senaste dagen. Den samlar till exempel in ett ovanligt stort antal distinkta URI-frågor, användaragenter eller loggar i en session, eller av specifika HTTP-verb eller HTTP-statusar i en session. Algoritmen identifierar ovanliga W3CIISLog-händelser inom en timmes session, grupperad efter platsnamn och klient-IP. Modellen tränas på de senaste 7 dagarnas IIS-aktivitet. Algoritmen söker efter tillräckligt med IIS-aktivitet innan modellen tränas.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | W3CIIS-loggar |
| MITRE ATT&CK-taktik: | Inledande åtkomst Bevarande |
| MITRE ATT&CK-tekniker: | Inledande åtkomst: T1190 – Utnyttja offentligt program Ståndaktighet: T1505 – Komponent för serverprogramvara |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Avvikande webbbegärandeaktivitet
Beskrivning: Den här algoritmen grupperar W3CIISLog-händelser i sessioner per timme grupperade efter webbplatsnamn och URI-stam. Maskininlärningsmodellen identifierar sessioner med ovanligt många begäranden som utlöste svarskoder i 5xx-klass under den senaste dagen. 5xx-klasskoder är en indikation på att viss program-instabilitet eller felvillkor har utlösts av begäran. De kan vara en indikation på att en angripare undersöker URI-stam för sårbarheter och konfigurationsproblem, utför viss exploateringsaktivitet som SQL-inmatning eller utnyttjar en okopplad säkerhetsrisk. Den här algoritmen använder 6 dagars data för träning.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | W3CIIS-loggar |
| MITRE ATT&CK-taktik: | Inledande åtkomst Bevarande |
| MITRE ATT&CK-tekniker: | Inledande åtkomst: T1190 – Utnyttja offentligt program Ståndaktighet: T1505 – Komponent för serverprogramvara |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Försök till dator brute force
Beskrivning: Den här algoritmen identifierar en ovanligt stor mängd misslyckade inloggningsförsök (säkerhetshändelse-ID 4625) per dator under den senaste dagen. Modellen tränas på de senaste 21 dagarna av Windows säkerhetshändelseloggar.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | Windows-säkerhet loggar |
| MITRE ATT&CK-taktik: | Åtkomst till autentiseringsuppgifter |
| MITRE ATT&CK-tekniker: | T1110 – Brute Force |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Försök till brute force för användarkonto
Beskrivning: Den här algoritmen identifierar en ovanligt stor mängd misslyckade inloggningsförsök (säkerhetshändelse-ID 4625) per användarkonto under den senaste dagen. Modellen tränas på de senaste 21 dagarna av Windows säkerhetshändelseloggar.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | Windows-säkerhet loggar |
| MITRE ATT&CK-taktik: | Åtkomst till autentiseringsuppgifter |
| MITRE ATT&CK-tekniker: | T1110 – Brute Force |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Försök till brute force för användarkonto per inloggningstyp
Beskrivning: Den här algoritmen identifierar en ovanligt stor mängd misslyckade inloggningsförsök (säkerhetshändelse-ID 4625) per användarkonto per inloggningstyp under den senaste dagen. Modellen tränas på de senaste 21 dagarna av Windows säkerhetshändelseloggar.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | Windows-säkerhet loggar |
| MITRE ATT&CK-taktik: | Åtkomst till autentiseringsuppgifter |
| MITRE ATT&CK-tekniker: | T1110 – Brute Force |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Försök till råstyrkeförsök för användarkontot per felorsak
Beskrivning: Den här algoritmen identifierar en ovanligt stor mängd misslyckade inloggningsförsök (säkerhetshändelse-ID 4625) per användarkonto per felorsak under den senaste dagen. Modellen tränas på de senaste 21 dagarna av Windows säkerhetshändelseloggar.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | Windows-säkerhet loggar |
| MITRE ATT&CK-taktik: | Åtkomst till autentiseringsuppgifter |
| MITRE ATT&CK-tekniker: | T1110 – Brute Force |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Identifiera beteende för datorgenererade nätverkssignaler
Beskrivning: Den här algoritmen identifierar beaconing-mönster från nätverkstrafikanslutningsloggar baserat på återkommande tidsdeltamönster. Alla nätverksanslutningar till ej betrodda offentliga nätverk vid upprepade tidpunkter är en indikation på återanrop av skadlig kod eller dataexfiltreringsförsök. Algoritmen beräknar tidsdelta mellan på varandra följande nätverksanslutningar mellan samma käll-IP och mål-IP, samt antalet anslutningar i en tidsdeltat sekvens mellan samma källor och mål. Procentandelen av beaconing beräknas som anslutningarna i time-delta-sekvensen mot de totala anslutningarna under en dag.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | CommonSecurityLog (PAN) |
| MITRE ATT&CK-taktik: | Kommando och kontroll |
| MITRE ATT&CK-tekniker: | T1071 – Application Layer Protocol T1132 – Datakodning T1001 – Datafördunkling T1568 – dynamisk upplösning T1573 – Krypterad kanal T1008 – Reservkanaler T1104 – Kanaler i flera steg T1095 – Protokoll för icke-programlager T1571 – Port som inte är standard T1572 – Protokolltunnlar T1090 – proxy T1205 – Trafiksignalering T1102 – webbtjänst |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Domängenereringsalgoritm (DGA) på DNS-domäner
Beskrivning: Den här maskininlärningsmodellen anger potentiella DGA-domäner från den senaste dagen i DNS-loggarna. Algoritmen gäller för DNS-poster som matchar IPv4- och IPv6-adresser.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | DNS-händelser |
| MITRE ATT&CK-taktik: | Kommando och kontroll |
| MITRE ATT&CK-tekniker: | T1568 – dynamisk upplösning |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Domänrykte Palo Alto-avvikelse (UPPHÖRD)
Beskrivning: Den här algoritmen utvärderar ryktet för alla domäner som visas specifikt i Palo Alto-brandväggsloggarna (PAN-OS-produkt). En hög avvikelsepoäng indikerar ett lågt rykte, vilket tyder på att domänen har observerats som värd för skadligt innehåll eller sannolikt kommer att göra det.
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Överdriven dataöverföringsavvikelse
Beskrivning: Den här algoritmen identifierar ovanligt hög dataöverföring som observerats i nätverksloggar. Den använder tidsserier för att dela upp data i säsongs-, trend- och residualkomponenter för att beräkna baslinjen. Eventuella plötsliga stora avvikelser från den historiska baslinjen anses vara avvikande aktivitet.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| MITRE ATT&CK-taktik: | Exfiltrering |
| MITRE ATT&CK-tekniker: | T1030 – Storleksgränser för dataöverföring T1041 – Exfiltrering över C2-kanal T1011 – Exfiltrering över annat nätverksmedium T1567 – Exfiltrering via webbtjänst T1029 – schemalagd överföring T1537 – Överföra data till molnkonto |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Överdriven nedladdning via Palo Alto GlobalProtect
Beskrivning: Den här algoritmen identifierar ovanligt stora mängder nedladdning per användarkonto via Palo Alto VPN-lösningen. Modellen tränas på de senaste 14 dagarna av VPN-loggarna. Det indikerar avvikande stora mängder nedladdningar under den senaste dagen.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-taktik: | Exfiltrering |
| MITRE ATT&CK-tekniker: | T1030 – Storleksgränser för dataöverföring T1041 – Exfiltrering över C2-kanal T1011 – Exfiltrering över annat nätverksmedium T1567 – Exfiltrering via webbtjänst T1029 – schemalagd överföring T1537 – Överföra data till molnkonto |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Överdrivna uppladdningar via Palo Alto GlobalProtect
Beskrivning: Den här algoritmen identifierar ovanligt stora mängder uppladdning per användarkonto via Palo Alto VPN-lösningen. Modellen tränas på de senaste 14 dagarna av VPN-loggarna. Det indikerar avvikande hög uppladdningsvolym under den senaste dagen.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-taktik: | Exfiltrering |
| MITRE ATT&CK-tekniker: | T1030 – Storleksgränser för dataöverföring T1041 – Exfiltrering över C2-kanal T1011 – Exfiltrering över annat nätverksmedium T1567 – Exfiltrering via webbtjänst T1029 – schemalagd överföring T1537 – Överföra data till molnkonto |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Logga in från en ovanlig region via Palo Alto GlobalProtect-kontoinloggningar
Beskrivning: När ett Palo Alto GlobalProtect-konto loggar in från en källregion som sällan har loggats in från under de senaste 14 dagarna utlöses en avvikelse. Den här avvikelsen kan tyda på att kontot har komprometterats.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-taktik: | Åtkomst till autentiseringsuppgifter Inledande åtkomst Sidorörelser |
| MITRE ATT&CK-tekniker: | T1133 – Externa fjärrtjänster |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Inloggningar i flera regioner under en enda dag via Palo Alto GlobalProtect (UTGÅENDE)
Beskrivning: Den här algoritmen identifierar ett användarkonto som hade inloggningar från flera icke-intilliggande regioner på en enda dag via ett Palo Alto VPN.
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Potentiell datalagring
Beskrivning: Den här algoritmen jämför nedladdningar av distinkta filer per användare från föregående vecka med nedladdningarna för den aktuella dagen för varje användare, och en avvikelse utlöses när antalet nedladdningar av distinkta filer överskrider det konfigurerade antalet standardavvikelser över medelvärdet. För närvarande analyserar algoritmen endast filer som ofta ses vid exfiltrering av dokument, bilder, videor och arkiv med tilläggen doc, , docxxls, xlsmxlsx, ppt, pptx, one, , pdf, ziprar, , bmp, jpg, mp3, , mp4och .mov
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | Office-aktivitetslogg (Exchange) |
| MITRE ATT&CK-taktik: | Samling |
| MITRE ATT&CK-tekniker: | T1074 – Mellanlagrade data |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Potentiell algoritm för domängenerering (DGA) på dns-domäner på nästa nivå
Beskrivning: Den här maskininlärningsmodellen anger domäner på nästa nivå (tredje nivån och uppåt) för domännamnen från den sista dagen av DNS-loggar som är ovanliga. De kan potentiellt vara utdata från en domängenereringsalgoritm (DGA). Avvikelsen gäller för DE DNS-poster som matchar IPv4- och IPv6-adresser.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | DNS-händelser |
| MITRE ATT&CK-taktik: | Kommando och kontroll |
| MITRE ATT&CK-tekniker: | T1568 – dynamisk upplösning |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Misstänkt geografiändring i Palo Alto GlobalProtect-kontoinloggningar
Beskrivning: En matchning anger att en användare som loggas in via fjärranslutning från ett land/en annan region än landet/regionen för användarens senaste fjärrinloggning. Den här regeln kan också indikera en kontokompromiss, särskilt om regeln matchar inträffade nära i tid. Detta inkluderar scenariot med omöjliga resor.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-taktik: | Inledande åtkomst Åtkomst till autentiseringsuppgifter |
| MITRE ATT&CK-tekniker: | T1133 – Externa fjärrtjänster T1078 – Giltiga konton |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Misstänkt antal skyddade dokument som används
Beskrivning: Den här algoritmen identifierar hög åtkomstvolym till skyddade dokument i Azure Information Protection-loggar (AIP). Den tar hänsyn till AIP-arbetsbelastningsposter under ett visst antal dagar och avgör om användaren utförde ovanlig åtkomst till skyddade dokument under en dag med tanke på det historiska beteendet.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | Azure Information Protection-loggar |
| MITRE ATT&CK-taktik: | Samling |
| MITRE ATT&CK-tekniker: | T1530 – Data från molnlagringsobjekt T1213 – Data från informationslagringsplatser T1005 – Data från det lokala systemet T1039 – Data från en delad nätverksenhet T1114 – E-postsamling |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Misstänkt volym av AWS API-anrop från IP-adress för icke-AWS-källa
Beskrivning: Den här algoritmen identifierar en ovanligt stor mängd AWS API-anrop per användarkonto per arbetsyta, från käll-IP-adresser utanför AWS käll-IP-intervall under den senaste dagen. Modellen tränas på de senaste 21 dagarna av AWS CloudTrail-logghändelser efter källans IP-adress. Den här aktiviteten kan tyda på att användarkontot har komprometterats.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | AWS CloudTrail-loggar |
| MITRE ATT&CK-taktik: | Inledande åtkomst |
| MITRE ATT&CK-tekniker: | T1078 – Giltiga konton |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Misstänkt volym av AWS CloudTrail-logghändelser för gruppanvändarkonto av EventTypeName
Beskrivning: Den här algoritmen identifierar en ovanligt stor mängd händelser per gruppanvändarkonto efter olika händelsetyper (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction) i AWS CloudTrail-loggen under den senaste dagen. Modellen tränas på de senaste 21 dagarna av AWS CloudTrail-logghändelser efter gruppanvändarkonto. Den här aktiviteten kan tyda på att kontot har komprometterats.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | AWS CloudTrail-loggar |
| MITRE ATT&CK-taktik: | Inledande åtkomst |
| MITRE ATT&CK-tekniker: | T1078 – Giltiga konton |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Misstänkt volym av AWS-skrivnings-API-anrop från ett användarkonto
Beskrivning: Den här algoritmen identifierar en ovanligt stor mängd AWS-skrivnings-API-anrop per användarkonto under den senaste dagen. Modellen tränas på de senaste 21 dagarna av AWS CloudTrail-logghändelser efter användarkonto. Den här aktiviteten kan tyda på att kontot har komprometterats.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | AWS CloudTrail-loggar |
| MITRE ATT&CK-taktik: | Inledande åtkomst |
| MITRE ATT&CK-tekniker: | T1078 – Giltiga konton |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Misstänkt volym av misslyckade inloggningsförsök till AWS-konsolen för varje gruppanvändarkonto
Beskrivning: Den här algoritmen identifierar en ovanligt stor mängd misslyckade inloggningsförsök till AWS-konsolen per gruppanvändarkonto i AWS CloudTrail-loggen under den senaste dagen. Modellen tränas på de senaste 21 dagarna av AWS CloudTrail-logghändelser efter gruppanvändarkonto. Den här aktiviteten kan tyda på att kontot har komprometterats.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | AWS CloudTrail-loggar |
| MITRE ATT&CK-taktik: | Inledande åtkomst |
| MITRE ATT&CK-tekniker: | T1078 – Giltiga konton |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Misstänkt volym av misslyckade inloggningsförsök till AWS-konsolen efter varje käll-IP-adress
Beskrivning: Den här algoritmen identifierar en ovanligt stor mängd misslyckade inloggningshändelser till AWS-konsolen per käll-IP-adress i din AWS CloudTrail-logg under den senaste dagen. Modellen tränas på de senaste 21 dagarna av AWS CloudTrail-logghändelser efter källans IP-adress. Den här aktiviteten kan tyda på att IP-adressen har komprometterats.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | AWS CloudTrail-loggar |
| MITRE ATT&CK-taktik: | Inledande åtkomst |
| MITRE ATT&CK-tekniker: | T1078 – Giltiga konton |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Misstänkt volym av inloggningar till datorn
Beskrivning: Den här algoritmen identifierar en ovanligt stor mängd lyckade inloggningar (säkerhetshändelse-ID 4624) per dator under den senaste dagen. Modellen tränas på de senaste 21 dagarna av Windows-säkerhet händelseloggar.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | Windows-säkerhet loggar |
| MITRE ATT&CK-taktik: | Inledande åtkomst |
| MITRE ATT&CK-tekniker: | T1078 – Giltiga konton |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Misstänkt volym av inloggningar till datorn med upphöjd token
Beskrivning: Den här algoritmen identifierar en ovanligt stor mängd lyckade inloggningar (säkerhetshändelse-ID 4624) med administratörsbehörighet per dator under den senaste dagen. Modellen tränas på de senaste 21 dagarna av Windows-säkerhet händelseloggar.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | Windows-säkerhet loggar |
| MITRE ATT&CK-taktik: | Inledande åtkomst |
| MITRE ATT&CK-tekniker: | T1078 – Giltiga konton |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Misstänkt volym av inloggningar till användarkonto
Beskrivning: Den här algoritmen identifierar en ovanligt stor mängd lyckade inloggningar (säkerhetshändelse-ID 4624) per användarkonto under den senaste dagen. Modellen tränas på de senaste 21 dagarna av Windows-säkerhet händelseloggar.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | Windows-säkerhet loggar |
| MITRE ATT&CK-taktik: | Inledande åtkomst |
| MITRE ATT&CK-tekniker: | T1078 – Giltiga konton |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Misstänkt volym av inloggningar till användarkonto efter inloggningstyper
Beskrivning: Den här algoritmen identifierar en ovanligt stor mängd lyckade inloggningar (säkerhetshändelse-ID 4624) per användarkonto, efter olika inloggningstyper, under den senaste dagen. Modellen tränas på de senaste 21 dagarna av Windows-säkerhet händelseloggar.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | Windows-säkerhet loggar |
| MITRE ATT&CK-taktik: | Inledande åtkomst |
| MITRE ATT&CK-tekniker: | T1078 – Giltiga konton |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Misstänkt volym av inloggningar till användarkonto med upphöjd token
Beskrivning: Den här algoritmen identifierar en ovanligt stor mängd lyckade inloggningar (säkerhetshändelse-ID 4624) med administratörsbehörighet per användarkonto under den senaste dagen. Modellen tränas på de senaste 21 dagarna av Windows-säkerhet händelseloggar.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | Windows-säkerhet loggar |
| MITRE ATT&CK-taktik: | Inledande åtkomst |
| MITRE ATT&CK-tekniker: | T1078 – Giltiga konton |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Ovanligt externt brandväggslarm har identifierats
Beskrivning: Den här algoritmen identifierar ovanliga externa brandväggslarm som är hotsignaturer som släppts av en brandväggsleverantör. Den använder de senaste 7 dagarnas aktiviteter för att beräkna de 10 mest utlösta signaturerna och de 10 värdar som utlöste flest signaturer. När båda typerna av brushändelser har exkluderats utlöses en avvikelse först efter att tröskelvärdet överskridits för antalet signaturer som utlöses under en enda dag.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | CommonSecurityLog (PAN) |
| MITRE ATT&CK-taktik: | Identifiering Kommando och kontroll |
| MITRE ATT&CK-tekniker: | Identifiering: T1046 – Genomsökning av nätverkstjänst T1135 – Identifiering av nätverksresurs Kommando och kontroll: T1071 – Application Layer Protocol T1095 – Protokoll för icke-programlager T1571 – Port som inte är standard |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Ovanlig massnedgradering av AIP-etikett
Beskrivning: Den här algoritmen identifierar ovanligt stora mängder nedgraderingsetiketter i Azure Information Protection-loggar (AIP). Den tar hänsyn till "AIP"-arbetsbelastningsposter under ett visst antal dagar och avgör den aktivitetssekvens som utförs på dokument tillsammans med etiketten som används för att klassificera ovanlig volym nedgraderingsaktivitet.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | Azure Information Protection-loggar |
| MITRE ATT&CK-taktik: | Samling |
| MITRE ATT&CK-tekniker: | T1530 – Data från molnlagringsobjekt T1213 – Data från informationslagringsplatser T1005 – Data från det lokala systemet T1039 – Data från en delad nätverksenhet T1114 – E-postsamling |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Ovanlig nätverkskommunikation på vanliga portar
Beskrivning: Den här algoritmen identifierar ovanlig nätverkskommunikation på vanliga portar och jämför daglig trafik med en baslinje från de föregående 7 dagarna. Detta inkluderar trafik på vanliga portar (22, 53, 80, 443, 8080, 8888) och jämför daglig trafik med medelvärdet och standardavvikelsen för flera attribut för nätverkstrafik som beräknats under baslinjeperioden. De trafikattribut som beaktas är dagliga totala händelser, daglig dataöverföring och antalet distinkta käll-IP-adresser per port. En avvikelse utlöses när de dagliga värdena är större än det konfigurerade antalet standardavvikelser ovanför medelvärdet.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| MITRE ATT&CK-taktik: | Kommando och kontroll Exfiltrering |
| MITRE ATT&CK-tekniker: | Kommando och kontroll: T1071 – Application Layer Protocol Exfiltrering: T1030 – Storleksgränser för dataöverföring |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Ovanlig avvikelse för nätverksvolym
Beskrivning: Den här algoritmen identifierar ovanligt stora mängder anslutningar i nätverksloggar. Den använder tidsserier för att dela upp data i säsongs-, trend- och residualkomponenter för att beräkna baslinjen. Eventuella plötsliga stora avvikelser från den historiska baslinjen betraktas som avvikande aktivitet.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| MITRE ATT&CK-taktik: | Exfiltrering |
| MITRE ATT&CK-tekniker: | T1030 – Storleksgränser för dataöverföring |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Ovanlig webbtrafik identifierad med IP i URL-sökvägen
Beskrivning: Den här algoritmen identifierar ovanliga webbbegäranden som anger en IP-adress som värd. Algoritmen hittar alla webbbegäranden med IP-adresser i URL-sökvägen och jämför dem med föregående veckas data för att utesluta känd godartad trafik. Efter att ha exkluderat känd godartad trafik utlöser den endast en avvikelse efter att ha överskridit vissa tröskelvärden med konfigurerade värden, till exempel totalt antal webbbegäranden, antal URL:er som visas med samma värdmåls-IP-adress och antalet distinkta käll-IP-adresser inom uppsättningen URL:er med samma mål-IP-adress. Den här typen av begäran kan indikera ett försök att kringgå URL-ryktestjänster i skadliga syften.
| Attribut | Värde |
|---|---|
| Avvikelsetyp: | Anpassningsbar maskininlärning |
| Datakällor: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| MITRE ATT&CK-taktik: | Kommando och kontroll Inledande åtkomst |
| MITRE ATT&CK-tekniker: | Kommando och kontroll: T1071 – Application Layer Protocol Inledande åtkomst: T1189 – Drive-by-kompromiss |
Tillbaka till machine learning-baserade avvikelser lista | Tillbaka till toppen
Nästa steg
Lär dig mer om maskininlärningsgenererade avvikelser i Microsoft Sentinel.
Lär dig hur du arbetar med avvikelseregler.
Undersök incidenter med Microsoft Sentinel.