Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsoft Sentinel registrerer uregelmæssigheder ved at analysere brugernes adfærd i et miljø over en tidsperiode og opbygge en grundlæggende grundlinje for legitim aktivitet. Når baselinen er etableret, anses enhver aktivitet uden for de normale parametre for at være unormal og derfor mistænkelig.
Microsoft Sentinel bruger to modeller til at oprette grundlinjer og registrere uregelmæssigheder.
Denne artikel indeholder en liste over uregelmæssigheder, som Microsoft Sentinel registrerer ved hjælp af forskellige modeller til maskinel indlæring.
I tabellen Uregelmæssigheder :
- Kolonnen
rulenameangiver den regel Sentinel bruges til at identificere hver uregelmæssighed. - Kolonnen
scoreindeholder en numerisk værdi mellem 0 og 1, som kvantificerer graden af afvigelse fra den forventede funktionsmåde. Højere scorer angiver større afvigelse fra den oprindelige plan og er mere tilbøjelige til at være sande uregelmæssigheder. Lavere scorer kan stadig være unormale, men er mindre tilbøjelige til at være signifikante eller handlingsvenlige.
Bemærk!
Disse registreringer af uregelmæssigheder ophører fra den 8. marts 2026 på grund af lav kvalitet af resultaterne:
- Domæneoprettelsesalgoritme (DGA) på DNS-domæner
- Potentiel domæneoprettelsesalgoritme (DGA) på DNS-domæner på næste niveau
Sammenlign UEBA- og machine learning-baserede uregelmæssigheder
UEBA- og Machine Learning-baserede uregelmæssigheder er komplementære metoder til registrering af uregelmæssigheder. Begge udfylder tabellen, Anomalies men har forskellige formål:
| Aspekt | UEBA-uregelmæssigheder | Regler for registrering af uregelmæssigheder i ML |
|---|---|---|
| Fokus | Hvem opfører sig usædvanligt | Hvilken aktivitet er usædvanlig |
| Registreringstilgang | Grundlæggende enhedsfokuserede adfærdsmæssige forhold sammenlignet med historisk aktivitet, peer-adfærd og mønstre i hele organisationen | Regelskabeloner, der kan tilpasses, ved hjælp af statistiske modeller og ML-modeller, der er oplært i bestemte datamønstre |
| Oprindelig kilde | Hver enheds egen historik, peer-gruppe og organisation | Oplæringsperiode (typisk 7-21 dage) for bestemte begivenhedstyper |
| Tilpasning | Aktiveret/deaktiveret ved hjælp af UEBA-indstillinger | Tærskelværdier og parametre, der kan tilpasses, ved hjælp af brugergrænsefladen for analysereglen |
| Eksempler | Unormalt logon, oprettelse af unormal konto, ændring af unormale rettigheder | Forsøgt brute force, overdreven downloads, netværk beaconing |
Du kan finde flere oplysninger under:
UEBA-uregelmæssigheder
Sentinel UEBA registrerer uregelmæssigheder baseret på dynamiske grundlinjer, der er oprettet for hvert objekt på tværs af forskellige datainput. Hvert objekts grundlæggende funktionsmåde angives i henhold til sine egne historiske aktiviteter, peers og organisationens aktiviteter som helhed. Uregelmæssigheder kan udløses af korrelationen mellem forskellige attributter, f.eks. handlingstype, geografisk placering, enhed, ressource, internetudbyder m.m.
Du skal aktivere registrering af UEBA og uregelmæssigheder i dit Sentinel arbejdsområde for at registrere UEBA-uregelmæssigheder.
UEBA registrerer uregelmæssigheder baseret på disse regler for uregelmæssigheder:
- Fjernelse af UEBA-unormal kontoadgang
- UEBA-oprettelse af unormal konto
- UEBA-unormal kontosletning
- UEBA-unormal kontomanipulation
- UEBA-unormal aktivitet i GCP-overvågningslogge
- UEBA-unormal aktivitet i Okta_CL
- UEBA-unormal godkendelse
- UEBA-kørsel af unormal kode
- UEBA Anomalous Data Destruction
- UEBA Uregelmæssig dataoverførsel fra Amazon S3
- UEBA Anomalous Defensive Mechanism Modifikation
- UEBA-unormalt mislykket logon
- UEBA Anomalous Federated eller SAML Identity Activity in AwsCloudTrail
- UEBA Anomalous IAM Privilege Modification in AwsCloudTrail
- UEBA Unormalt infrastrukturforbrug i GCP-overvågningslogge
- UEBA-unormalt logon i GCP-overvågningslogge
- UEBA Anomalous Logon i AwsCloudTrail
- UEBA Anomalous MFA-fejl i Okta_CL
- UEBA Unormal nulstilling af adgangskode
- UEBA-unormal rettighed tildelt
- UEBA-unormal privilegeret handling i GCP-overvågningslogge
- UEBA-unormal ressourceinstallation i GCP-overvågningslogge
- UEBA Anomalous Secret eller KMS Key Access i AwsCloudTrail
- UEBA-unormal hemmelighed eller KMS-nøgleadgang i GCP-overvågningslogge
- UEBA-unormalt logon
- UEBA Anomalous STS AssumeRole Behavior in AwsCloudTrail
Sentinel bruger forbedrede data fra tabellen BehaviorAnalytics til at identificere UEBA-uregelmæssigheder med en tillidsscore, der er specifik for din lejer og kilde.
Fjernelse af UEBA-unormal kontoadgang
Beskrivelse: En hacker kan afbryde tilgængeligheden af system- og netværksressourcer ved at blokere adgang til konti, der bruges af legitime brugere. Hackeren kan slette, låse eller manipulere en konto (f.eks. ved at ændre dens legitimationsoplysninger) for at fjerne adgangen til den.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | Azure aktivitetslogge |
| MITRE ATT&CK taktik: | Indvirkning |
| MITRE ATT&CK-teknikker: | T1531 – Fjernelse af kontoadgang |
| Aktivitet: | Microsoft.Authorization/roleAssignments/delete Log af |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA-oprettelse af unormal konto
Beskrivelse: Modstandere kan oprette en konto for at bevare adgangen til målrettede systemer. Med et tilstrækkeligt adgangsniveau kan oprettelse af sådanne konti bruges til at etablere sekundær adgang med legitimationsoplysninger, uden at der skal installeres vedvarende fjernadgangsværktøjer på systemet.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | Microsoft Entra overvågningslogge |
| MITRE ATT&CK taktik: | Persistens |
| MITRE ATT&CK-teknikker: | T1136 – Opret konto |
| MITRE ATT&CK-underteknikker: | Cloudkonto |
| Aktivitet: | Kernemappe/UserManagement/Tilføj bruger |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA-unormal kontosletning
Beskrivelse: Modstandere kan afbryde tilgængeligheden af system- og netværksressourcer ved at hæmme adgangen til konti, der anvendes af legitime brugere. Konti kan slettes, låses eller manipuleres (f.eks. ændrede legitimationsoplysninger) for at fjerne adgangen til konti.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | Microsoft Entra overvågningslogge |
| MITRE ATT&CK taktik: | Indvirkning |
| MITRE ATT&CK-teknikker: | T1531 – Fjernelse af kontoadgang |
| Aktivitet: | Kernemappe/UserManagement/Slet bruger Kernemappe/enhed/slet bruger Kernemappe/UserManagement/Slet bruger |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA-unormal kontomanipulation
Beskrivelse: Modstandere kan manipulere konti for at bevare adgang til destinationssystemer. Disse handlinger omfatter tilføjelse af nye konti til grupper med mange rettigheder. Dragonfly 2.0 føjede f.eks. nyoprettede konti til administratorgruppen for at bevare øget adgang. Forespørgslen nedenfor genererer et output fra alle brugere med høj eksplosionsradius, der udfører "Opdater bruger" (navneændring) til privilegeret rolle, eller dem, der ændrede brugere for første gang.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | Microsoft Entra overvågningslogge |
| MITRE ATT&CK taktik: | Persistens |
| MITRE ATT&CK-teknikker: | T1098 – Kontomanipulation |
| Aktivitet: | Core Directory/UserManagement/Update user |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA-unormal aktivitet i GCP-overvågningslogge
Beskrivelse: Mislykkede adgangsforsøg til GCP-ressourcer (Google Cloud Platform) baseret på IAM-relaterede poster i GCP-overvågningslogge. Disse fejl kan afspejle forkert konfigurerede tilladelser, forsøg på at få adgang til uautoriserede tjenester eller hackerfunktioner i tidlig fase, f.eks. rettighedstest eller fastholdelse via tjenestekonti.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | GCP-overvågningslogge |
| MITRE ATT&CK taktik: | Opdagelse |
| MITRE ATT&CK-teknikker: | T1087 – Kontosøgning, T1069 – Registrering af tilladelsesgrupper |
| Aktivitet: | iam.googleapis.com |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA-unormal aktivitet i Okta_CL
Beskrivelse: Uventet godkendelsesaktivitet eller sikkerhedsrelaterede konfigurationsændringer i Okta, herunder ændringer af logonregler, håndhævelse af multifaktorgodkendelse (MFA) eller administrative rettigheder. En sådan aktivitet kan indikere forsøg på at ændre identitetssikkerhedskontroller eller bevare adgang via privilegerede ændringer.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | Okta Cloud Logs (Okta_CL og OktaV2_CL) |
| MITRE ATT&CK taktik: | Vedholdenhed, rettighedseskalering |
| MITRE ATT&CK-teknikker: | T1098 – Kontomanipulation, T1556 – Rediger godkendelsesproces |
| Aktivitet: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deaktiver user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA-unormal godkendelse
Beskrivelse: Usædvanlig godkendelsesaktivitet på tværs af signaler fra Microsoft Defender for Endpoint og Microsoft Entra ID, herunder enhedslogon, administrerede identitetslogon og godkendelser af tjenesteprincipaler fra Microsoft Entra ID. Disse uregelmæssigheder kan tyde på misbrug af legitimationsoplysninger, misbrug af ikke-menneskelig identitet eller tværgående bevægelsesforsøg uden for de typiske adgangsmønstre.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | Microsoft Defender for Endpoint, Microsoft Entra ID |
| MITRE ATT&CK taktik: | Indledende adgang |
| MITRE ATT&CK-teknikker: | T1078 – Gyldige konti |
| Aktivitet: |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA-kørsel af unormal kode
Beskrivelse: Modstandere kan misbruge kommando- og scriptfortolkere til at udføre kommandoer, scripts eller binære filer. Disse grænseflader og sprog giver mulighed for at interagere med computersystemer og er en fælles funktion på tværs af mange forskellige platforme.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | Azure aktivitetslogge |
| MITRE ATT&CK taktik: | Udførelse |
| MITRE ATT&CK-teknikker: | T1059 – Kommando- og scriptfortolker |
| MITRE ATT&CK-underteknikker: | PowerShell |
| Aktivitet: | Microsoft.Compute/virtualMachines/runCommand/action |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA Anomalous Data Destruction
Beskrivelse: Modstandere kan ødelægge data og filer på bestemte systemer eller i stort tal på et netværk for at afbryde tilgængeligheden af systemer, tjenester og netværksressourcer. Datadestruktion vil sandsynligvis gøre lagrede data uoprettelige af tekniske teknikker ved at overskrive filer eller data på lokale drev og fjerndrev.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | Azure aktivitetslogge |
| MITRE ATT&CK taktik: | Indvirkning |
| MITRE ATT&CK-teknikker: | T1485 – Ødelæggelse af data |
| Aktivitet: | Microsoft.Compute/disks/delete Microsoft.Compute/gallerier/billeder/slet Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA Uregelmæssig dataoverførsel fra Amazon S3
Beskrivelse: Afvigelser i dataadgangs- eller downloadmønstre fra Amazon Simple Storage Service (S3). Uregelmæssigheden bestemmes ved hjælp af grundlæggende funktionsmåder for hver bruger, tjeneste og ressource, hvor mængden af dataoverførsler, frekvensen og antallet af tilgåede objekter sammenlignes med historiske normer. Betydelige afvigelser – f.eks. førstegangs masseadgang, usædvanlig stor datahentning eller aktivitet fra nye placeringer eller programmer – kan indikere potentiel dataudfiltrering, politikovertrædelser eller misbrug af kompromitterede legitimationsoplysninger.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | AWS CloudTrail-logge |
| MITRE ATT&CK taktik: | Eksfiltration |
| MITRE ATT&CK-teknikker: | T1567 – Eksfiltration via webtjeneste |
| Aktivitet: | PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA Anomalous Defensive Mechanism Modifikation
Beskrivelse: Modstandere kan deaktivere sikkerhedsværktøjer for at undgå mulig registrering af deres værktøjer og aktiviteter.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | Azure aktivitetslogge |
| MITRE ATT&CK taktik: | Forsvarsunddragelse |
| MITRE ATT&CK-teknikker: | T1562 - Nedsat forsvar |
| MITRE ATT&CK-underteknikker: | Deaktiver eller rediger værktøjer Deaktiver eller rediger Cloud Firewall |
| Aktivitet: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA-unormalt mislykket logon
Beskrivelse: Modstandere uden forudgående kendskab til legitime legitimationsoplysninger i systemet eller miljøet kan gætte adgangskoder for at forsøge at få adgang til konti.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | Microsoft Entra logonlogge Windows Sikkerhed logge |
| MITRE ATT&CK taktik: | Adgang til legitimationsoplysninger |
| MITRE ATT&CK-teknikker: | T1110 - Brute Force |
| Aktivitet: |
Microsoft Entra ID: Logonaktivitet Windows Sikkerhed: Mislykket logon (hændelses-id 4625) |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA Anomalous Federated eller SAML Identity Activity in AwsCloudTrail
Beskrivelse: Usædvanlig aktivitet fra SAML-baserede identiteter (Security Assertion Markup Language), der involverer handlinger, der ikke er kendte geoplaceringer, eller overdrevne API-kald. Sådanne uregelmæssigheder kan indikere sessionskapring eller misbrug af legitimationsoplysninger i organisationsnetværket.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | AWS CloudTrail-logge |
| MITRE ATT&CK taktik: | Indledende adgang, vedholdenhed |
| MITRE ATT&CK-teknikker: | T1078 – Gyldige konti, T1550 – Brug alternativt godkendelsesmateriale |
| Aktivitet: | Godkendelse af bruger (EXTERNAL_IDP) |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA Anomalous IAM Privilege Modification in AwsCloudTrail
Beskrivelse: Afvigelser i funktionsmåden for administration af identitets- og adgangsstyring (IAM), f.eks. oprettelse, ændring eller sletning af roller, brugere og grupper for første gang eller vedhæftning af nye indbyggede eller administrerede politikker. Disse kan indikere rettighedseskalering eller politikmisbrug.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | AWS CloudTrail-logge |
| MITRE ATT&CK taktik: | Rettighedseskalering, fastholdelse |
| MITRE ATT&CK-teknikker: | T1136 – Opret konto, T1098 – Kontomanipulation |
| Aktivitet: | Handlingerne Opret, Tilføj, Vedhæft, Slet, Deaktiver, Placer og Opdater på iam.amazonaws.com, sso-directory.amazonaws.com |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA Unormalt infrastrukturforbrug i GCP-overvågningslogge
Beskrivelse: Usædvanlige mønstre for infrastrukturoperationer i Google Cloud Platform (GCP), der identificeres ved at sammenligne brugerens IP-adresse, brugeragent, internetudbyder og tjenesteadgangsmønstre med deres historiske adfærd. Uregelmæssigheder som f.eks. førstegangsadgang til infrastrukturtjenester, ualmindelige værktøjer eller programmer eller usædvanlige driftsmønstre kan indikere tværgående flytning, ressourcemisbrug eller uautoriserede ændringer af infrastrukturen.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | GCP-overvågningslogge |
| MITRE ATT&CK taktik: | Registrering, virkning |
| MITRE ATT&CK-teknikker: | T1580 – Cloud Infrastructure Discovery, T1496 – Ressourcekapring |
| Aktivitet: | Handlinger, der ikke oprettes/indsættes på iamcredentials.googleapis.com, cloudresourcemanager.googleapis.com, container.googleapis.com, bigquerydatapolicy.googleapis.com, autoscaling.googleapis.com, run.googleapis.com, redis.googleapis.com, securitycenter.googleapis.com, compute.googleapis.com, storage.googleapis.com, k8s.io, cloudsql.googleapis.com, bigquery.googleapis.com, bigquerydatatransfer.googleapis.com, cloudfunctions.googleapis.com, appengine.googleapis.com, dns.googleapis.com |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA-unormalt logon i GCP-overvågningslogge
Beskrivelse: Usædvanlig godkendelsesaktivitet i Google Cloud Platform (GCP), der registreres via logonrelaterede poster i GCP-overvågningslogge. Uregelmæssigheder bestemmes af afvigelser i brugeradfærd baseret på attributter som geoplacering, IP-adresse, INTERNETUDBYDER og brugeragent sammenlignet med brugerens historiske logonmønstre. Sådanne afvigelser kan indikere uautoriserede adgangsforsøg, kompromitterede legitimationsoplysninger eller umulige rejsescenarier.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | GCP-overvågningslogge |
| MITRE ATT&CK taktik: | Indledende adgang |
| MITRE ATT&CK-teknikker: | T1078 – gyldige konti |
| Aktivitet: | login.googleapis.com |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA Anomalous Logon i AwsCloudTrail
Beskrivelse: Usædvanlig logonaktivitet i AWS-tjenester (Amazon Web Services), der er baseret på CloudTrail-hændelser, f.eks. ConsoleLogin og andre godkendelsesrelaterede attributter. Uregelmæssigheder bestemmes af afvigelser i brugeradfærd baseret på attributter som geoplacering, enhedens fingeraftryk, internetudbyder og adgangsmetode og kan indikere uautoriseret adgangsforsøg eller potentielle politikovertrædelser.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | AWS CloudTrail-logge |
| MITRE ATT&CK taktik: | Indledende adgang |
| MITRE ATT&CK-teknikker: | T1078 – Gyldige konti |
| Aktivitet: | ConsoleLogin |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA Anomalous MFA-fejl i Okta_CL
Beskrivelse: Usædvanlige mønstre for mislykkede MFA-forsøg i Okta. Disse uregelmæssigheder kan skyldes forkert brug af kontoen, udstopning af legitimationsoplysninger eller forkert brug af enhedsmekanismer, der er tillid til, og afspejler ofte modsatordnede adfærd i tidligt stadie, f.eks. test af stjålne legitimationsoplysninger eller undersøgelse af sikkerhedsforanstaltninger for identitet.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | Okta Cloud Logs (Okta_CL og OktaV2_CL) |
| MITRE ATT&CK taktik: | Vedholdenhed, rettighedseskalering |
| MITRE ATT&CK-teknikker: | T1078 – Gyldige konti, T1556 – Rediger godkendelsesproces |
| Aktivitet: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deaktiver user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA Unormal nulstilling af adgangskode
Beskrivelse: Modstandere kan afbryde tilgængeligheden af system- og netværksressourcer ved at hæmme adgangen til konti, der anvendes af legitime brugere. Konti kan slettes, låses eller manipuleres (f.eks. ændrede legitimationsoplysninger) for at fjerne adgangen til konti.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | Microsoft Entra overvågningslogge |
| MITRE ATT&CK taktik: | Indvirkning |
| MITRE ATT&CK-teknikker: | T1531 – Fjernelse af kontoadgang |
| Aktivitet: | Kernemappe/UserManagement/Nulstilling af brugeradgangskode |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA-unormal rettighed tildelt
Beskrivelse: Modstandere kan tilføje legitimationsoplysninger, der styres af modstandere, for Azure tjenesteprincipaler ud over eksisterende legitime legitimationsoplysninger for at bevare den vedvarende adgang til Azure-konti for ofre.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | Microsoft Entra overvågningslogge |
| MITRE ATT&CK taktik: | Persistens |
| MITRE ATT&CK-teknikker: | T1098 – Kontomanipulation |
| MITRE ATT&CK-underteknikker: | Yderligere legitimationsoplysninger for Azure tjenesteprincipal |
| Aktivitet: | Klargøring af konto/Programstyring/Føj approlletildeling til tjenesteprincipal |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA-unormal privilegeret handling i GCP-overvågningslogge
Beskrivelse: Afvigelser i den administrative funktionsmåde for identitets- og adgangsstyring (IAM) i Google Cloud Platform (GCP), f.eks. førstegangsforespørgsler om roller, der kan tildeles, hentning eller oprettelse af tjenestekonti og deres nøgler eller ændringer af IAM-politikker. En betydeligt højere mængde privilegerede handlinger eller administratorhandlinger sammenlignet med brugerens historiske funktionsmåde kan indikere rettighedseskalering, fastholdelse via tjenestekonti eller rekognoscering af tilgængelige tilladelser.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | GCP-overvågningslogge |
| MITRE ATT&CK taktik: | Rettighedseskalering, fastholdelse |
| MITRE ATT&CK-teknikker: | T1098 – Kontomanipulation, T1078 – Gyldige konti |
| Aktivitet: | QueryGrantableRoles, GetServiceAccount, ListServiceAccountKeys, CreateServiceAccount, GetIAMPolicy, ListApplicablePolicies, GetPolicy, CreateServiceAccountKey og administratorrelaterede handlinger på iam.googleapis.com, firestore.googleapis.com, bigtableadmin.googleapis.com, alloydb.googleapis.com, admin.googleapis.com |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA-unormal ressourceinstallation i GCP-overvågningslogge
Beskrivelse: Usædvanlig ressourceoprettelses- eller udrulningsaktivitet i Google Cloud Platform (GCP), herunder klargøring af beregningsforekomster første gang, lagerb buckets, Kubernetes-klynger, Cloud Functions eller andre infrastrukturressourcer. En betydeligt højere grad af ressourceinstallationer sammenlignet med brugerens historiske funktionsmåde kan indikere uautoriseret ressourceinstallation til kryptominering, datalagring eller etablering af vedvarende fodfæste i miljøet.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | GCP-overvågningslogge |
| MITRE ATT&CK taktik: | Udførelse, vedholdenhed |
| MITRE ATT&CK-teknikker: | T1610 – Udrul objektbeholder, T1578 – Rediger cloudberegningsinfrastruktur |
| Aktivitet: | Opret og indsæt handlinger på apigee.googleapis.com, appengine.googleapis.com, bigquery.googleapis.com, bigquerydatatransfer.googleapis.com, cloudfunctions.googleapis.com, cloudsql.googleapis.com, compute.googleapis.com, container.googleapis.com, dataproc.googleapis.com, datastore.googleapis.com, dns.googleapis.com, firestore.googleapis.com, k8s.io, osconfig.googleapis.com, run.googleapis.com, storage.googleapis.com |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA Anomalous Secret eller KMS Key Access i AwsCloudTrail
Beskrivelse: Mistænkelig adgang til AWS Secrets Manager eller KMS-ressourcer (Key Management Service). Førstegangsadgang eller usædvanlig høj adgangshyppighed kan indikere forsøg på indsamling af legitimationsoplysninger eller forsøg på eksfiltration af data.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | AWS CloudTrail-logge |
| MITRE ATT&CK taktik: | Adgang til legitimationsoplysninger, samling |
| MITRE ATT&CK-teknikker: | T1555 – Legitimationsoplysninger fra adgangskodelagre |
| Aktivitet: | GetSecretValue BatchGetSecretValue ListKeys ListSecrets PutSecretValue Opretsecret UpdateSecret Sletsecret Opret nøgle PutKeyPolicy |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA-unormal hemmelighed eller KMS-nøgleadgang i GCP-overvågningslogge
Beskrivelse: Mistænkelig adgang til Google Cloud Secret Manager eller Cloud KMS-ressourcer. Førstegangsadgang til en hemmelig vault, nøgle eller certifikat, usædvanlige adgangsmønstre blandt peers eller en betydeligt højere adgangsmængde sammenlignet med brugerens historiske baseline kan indikere indsamling af legitimationsoplysninger, forsøg på eksfiltration af data eller misbrug af kompromitterede tjenestekonti.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | GCP-overvågningslogge |
| MITRE ATT&CK taktik: | Adgang til legitimationsoplysninger, samling |
| MITRE ATT&CK-teknikker: | T1555 – Legitimationsoplysninger fra adgangskodelagre, T1552 – ikke-sikrede legitimationsoplysninger |
| Aktivitet: | Administrative handlinger på cloudkms.googleapis.com, secretmanager.googleapis.com (undtagen AccessSecretVersion, AsymmetricDecrypt, GetPublicKey, AsymmetricSign) |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA-unormalt logon
Beskrivelse: Modstandere kan stjæle legitimationsoplysningerne for en bestemt bruger- eller tjenestekonto ved hjælp af teknikker til adgang til legitimationsoplysninger eller registrere legitimationsoplysninger tidligere i deres rekognosceringsproces via social engineering for at opnå persistens.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | Microsoft Entra logonlogge Windows Sikkerhed logge |
| MITRE ATT&CK taktik: | Persistens |
| MITRE ATT&CK-teknikker: | T1078 – Gyldige konti |
| Aktivitet: |
Microsoft Entra ID: Logonaktivitet Windows Sikkerhed: Vellykket logon (hændelses-id 4624) |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
UEBA Anomalous STS AssumeRole Behavior in AwsCloudTrail
Beskrivelse: Unormal brug af STS-handlinger (Security Token Service) AssumeRole (AWS Security Token Service), især med privilegerede roller eller adgang på tværs af konti. Afvigelser fra typisk brug kan indikere rettighedseskalering eller identitets kompromitteret.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | UEBA |
| Datakilder: | AWS CloudTrail-logge |
| MITRE ATT&CK taktik: | Rettighedseskalering, forsvarsunddragelse |
| MITRE ATT&CK-teknikker: | T1548 - Misbrug elevation kontrol mekanisme, T1078 - Gyldige konti |
| Aktivitet: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity AssumeRoot |
Tilbage til UEBA-listen | over uregelmæssighederTilbage til toppen
Uregelmæssigheder baseret på maskinel indlæring
Microsoft Sentinel kan tilpasses, kan uregelmæssigheder baseret på maskinel indlæring identificere uregelmæssigheder med skabeloner til analyseregel, som du kan få til at fungere lige fra starten. Selvom uregelmæssigheder ikke nødvendigvis indikerer ondsindet eller endda mistænkelig adfærd af sig selv, kan de bruges til at forbedre opdagelser, undersøgelser og trusselsjagt.
- Uregelmæssige Azure handlinger
- Eksekvering af uregelmæssig kode
- Unormal oprettelse af lokal konto
- Uregelmæssige brugeraktiviteter i Office Exchange
- Forsøg på computerbrudskraft
- Gennemtvinget forsøg på brugerkonto
- Gennemtvingning af brugerkonto forsøgt pr. logontype
- Der blev forsøgt brute force for brugerkonto pr. fejlårsag
- Registrer maskingenereret netværksfyrfunktion
- Domæneoprettelsesalgoritme (DGA) på DNS-domæner
- Overdrevne downloads via Palo Alto GlobalProtect
- Overdrevne uploads via Palo Alto GlobalProtect
- Potentiel domæneoprettelsesalgoritme (DGA) på DNS-domæner på næste niveau
- Mistænkelig volumen af AWS API-kald fra ikke-AWS-kilde-IP-adresse
- Mistænkelig volumen af AWS-skrivnings-API-kald fra en brugerkonto
- Mistænkelig mængde logon på computeren
- Mistænkelig mængde logon på computer med forhøjet token
- Mistænkelig mængde logon til brugerkonto
- Mistænkelig mængde logon til brugerkonto efter logontyper
- Mistænkelig mængde logon til brugerkonto med forhøjet token
Uregelmæssige Azure handlinger
Beskrivelse: Denne registreringsalgoritme indsamler data for 21 dage på Azure handlinger grupperet efter bruger for at oplære denne ML-model. Algoritmen genererer derefter uregelmæssigheder i tilfælde af brugere, der har udført sekvenser af handlinger, der er ualmindelige i deres arbejdsområder. Den oplærte ML-model scorer de handlinger, der er udført af brugeren, og tager dem, hvis score er større end den definerede grænse, i betragtning.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | Azure aktivitetslogge |
| MITRE ATT&CK taktik: | Indledende adgang |
| MITRE ATT&CK-teknikker: | T1190 - Udnyttelse Public-Facing program |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Eksekvering af uregelmæssig kode
Beskrivelse: Hackere kan misbruge kommando- og scripttolker til at udføre kommandoer, scripts eller binære filer. Disse grænseflader og sprog giver mulighed for at interagere med computersystemer og er en fælles funktion på tværs af mange forskellige platforme.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | Azure aktivitetslogge |
| MITRE ATT&CK taktik: | Udførelse |
| MITRE ATT&CK-teknikker: | T1059 – Kommando- og scriptfortolker |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Unormal oprettelse af lokal konto
Beskrivelse: Denne algoritme registrerer unormal oprettelse af lokale konti på Windows-systemer. Hackere kan oprette lokale konti for at bevare adgangen til målrettede systemer. Denne algoritme analyserer den lokale kontooprettelsesaktivitet for de seneste 14 dage af brugerne. Den søger efter lignende aktivitet på den aktuelle dag fra brugere, der ikke tidligere blev set i historisk aktivitet. Du kan angive en tilladelsesliste for at filtrere kendte brugere fra at udløse denne uregelmæssighed.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | Windows Sikkerhed logge |
| MITRE ATT&CK taktik: | Persistens |
| MITRE ATT&CK-teknikker: | T1136 – Opret konto |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Uregelmæssige brugeraktiviteter i Office Exchange
Beskrivelse: Denne model til maskinel indlæring grupperer Office Exchange-loggene pr. bruger i buckets pr. time. Vi definerer én time som en session. Modellen er oplært i de forrige 7 dages funktionsmåde på tværs af alle almindelige brugere (ikke administratorer). Det angiver unormale brugersessioner af Office Exchange den sidste dag.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | Office-aktivitetslog (Exchange) |
| MITRE ATT&CK taktik: | Persistens Samling |
| MITRE ATT&CK-teknikker: |
Samling: T1114 - Mailsamling T1213 – Data fra informationslagre Persistens: T1098 – Kontomanipulation T1136 – Opret konto T1137 – Start af Office-program T1505 – Server Software Component |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Forsøg på computerbrudskraft
Beskrivelse: Denne algoritme registrerer en usædvanlig stor mængde mislykkede logonforsøg (sikkerhedshændelses-id 4625) pr. computer i løbet af den seneste dag. Modellen oplæres i de forrige 21 dage af Windows-logfiler for sikkerhedshændelser.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | Windows Sikkerhed logge |
| MITRE ATT&CK taktik: | Adgang til legitimationsoplysninger |
| MITRE ATT&CK-teknikker: | T1110 - Brute Force |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Gennemtvinget forsøg på brugerkonto
Beskrivelse: Denne algoritme registrerer en usædvanlig stor mængde mislykkede logonforsøg (sikkerhedshændelses-id 4625) pr. brugerkonto i løbet af den seneste dag. Modellen oplæres i de forrige 21 dage af Windows-logfiler for sikkerhedshændelser.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | Windows Sikkerhed logge |
| MITRE ATT&CK taktik: | Adgang til legitimationsoplysninger |
| MITRE ATT&CK-teknikker: | T1110 - Brute Force |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Gennemtvingning af brugerkonto forsøgt pr. logontype
Beskrivelse: Denne algoritme registrerer en usædvanlig stor mængde mislykkede logonforsøg (sikkerhedshændelses-id 4625) pr. brugerkonto pr. logontype i løbet af den seneste dag. Modellen oplæres i de forrige 21 dage af Windows-logfiler for sikkerhedshændelser.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | Windows Sikkerhed logge |
| MITRE ATT&CK taktik: | Adgang til legitimationsoplysninger |
| MITRE ATT&CK-teknikker: | T1110 - Brute Force |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Der blev forsøgt brute force for brugerkonto pr. fejlårsag
Beskrivelse: Denne algoritme registrerer en usædvanlig stor mængde mislykkede logonforsøg (sikkerhedshændelses-id 4625) pr. brugerkonto pr. fejlårsag i løbet af den seneste dag. Modellen oplæres i de forrige 21 dage af Windows-logfiler for sikkerhedshændelser.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | Windows Sikkerhed logge |
| MITRE ATT&CK taktik: | Adgang til legitimationsoplysninger |
| MITRE ATT&CK-teknikker: | T1110 - Brute Force |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Registrer maskingenereret netværksfyrfunktion
Beskrivelse: Denne algoritme identificerer beaconingmønstre fra logfiler for netværkstrafikforbindelser baseret på deltamønstre for tilbagevendende tid. Enhver netværksforbindelse til upålidelige offentlige netværk på gentagne tidspunkt deltas er en indikation af malware tilbagekald eller data exfiltration forsøg. Algoritmen beregner tidsdeltaen mellem fortløbende netværksforbindelser mellem den samme kilde-IP og destinations-IP samt antallet af forbindelser i en tidsdeltasekvens mellem de samme kilder og destinationer. Procentdelen af beaconing beregnes som forbindelserne i tid-delta-sekvensen i forhold til det samlede antal forbindelser på en dag.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | CommonSecurityLog (PAN) |
| MITRE ATT&CK taktik: | Kommando og kontrolelement |
| MITRE ATT&CK-teknikker: | T1071 - Application Layer Protocol T1132 – Datakodning T1001 – Tilsløring af data T1568 – Dynamisk opløsning T1573 – Krypteret kanal T1008 – Fallback-kanaler T1104 – Kanaler med flere faser T1095 - Protokol uden programlag T1571 - ikke-Standard port T1572 - Protokol tunnelføring T1090 - Proxy T1205 - Trafiksignal T1102 – Webtjeneste |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Domæneoprettelsesalgoritme (DGA) på DNS-domæner
Beskrivelse: Denne model til maskinel indlæring angiver potentielle DGA-domæner fra den seneste dag i DNS-loggene. Algoritmen gælder for DNS-poster, der fortolkes som IPv4- og IPv6-adresser.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | DNS-hændelser |
| MITRE ATT&CK taktik: | Kommando og kontrolelement |
| MITRE ATT&CK-teknikker: | T1568 – Dynamisk opløsning |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Overdrevne downloads via Palo Alto GlobalProtect
Beskrivelse: Denne algoritme registrerer usædvanlig stor download pr. brugerkonto via Palo Alto VPN-løsningen. Modellen oplæres i de forrige 14 dage af VPN-loggene. Det angiver unormal stor mængde downloads i løbet af den seneste dag.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK taktik: | Eksfiltration |
| MITRE ATT&CK-teknikker: | T1030 – Størrelsesgrænser for dataoverførsel T1041 – Eksfiltration over C2-kanal T1011 – Eksfiltration over andre netværk mellem T1567 – Eksfiltration via webtjeneste T1029 – Planlagt overførsel T1537 – Overfør data til en cloudkonto |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Overdrevne uploads via Palo Alto GlobalProtect
Beskrivelse: Denne algoritme registrerer usædvanligt stor upload pr. brugerkonto via Palo Alto VPN-løsningen. Modellen oplæres i de forrige 14 dage af VPN-loggene. Det angiver unormal stor uploadmængde i løbet af den seneste dag.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK taktik: | Eksfiltration |
| MITRE ATT&CK-teknikker: | T1030 – Størrelsesgrænser for dataoverførsel T1041 – Eksfiltration over C2-kanal T1011 – Eksfiltration over andre netværk mellem T1567 – Eksfiltration via webtjeneste T1029 – Planlagt overførsel T1537 – Overfør data til en cloudkonto |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Potentiel domæneoprettelsesalgoritme (DGA) på DNS-domæner på næste niveau
Beskrivelse: Denne model til maskinel indlæring angiver domænenavnene på næste niveau (tredje niveau og opefter) fra den sidste dag i DNS-logfiler, der er usædvanlige. De kan potentielt være outputtet af en domæneoprettelsesalgoritme (DGA). Uregelmæssigheden gælder for de DNS-poster, der omsættes til IPv4- og IPv6-adresser.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | DNS-hændelser |
| MITRE ATT&CK taktik: | Kommando og kontrolelement |
| MITRE ATT&CK-teknikker: | T1568 – Dynamisk opløsning |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Mistænkelig volumen af AWS API-kald fra ikke-AWS-kilde-IP-adresse
Beskrivelse: Denne algoritme registrerer en usædvanlig stor mængde AWS-API-kald pr. brugerkonto pr. arbejdsområde fra kilde-IP-adresser uden for AWS's kilde-IP-intervaller inden for den sidste dag. Modellen oplæres i de forrige 21 dage af AWS CloudTrail-loghændelser efter kildens IP-adresse. Denne aktivitet kan indikere, at brugerkontoen er kompromitteret.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | AWS CloudTrail-logge |
| MITRE ATT&CK taktik: | Indledende adgang |
| MITRE ATT&CK-teknikker: | T1078 – Gyldige konti |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Mistænkelig volumen af AWS-skrivnings-API-kald fra en brugerkonto
Beskrivelse: Denne algoritme registrerer en usædvanlig stor mængde AWS-skrivnings-API-kald pr. brugerkonto inden for den sidste dag. Modellen oplæres efter brugerkonto i de forrige 21 dage med AWS CloudTrail-loghændelser. Denne aktivitet kan indikere, at kontoen er kompromitteret.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | AWS CloudTrail-logge |
| MITRE ATT&CK taktik: | Indledende adgang |
| MITRE ATT&CK-teknikker: | T1078 – Gyldige konti |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Mistænkelig mængde logon på computeren
Beskrivelse: Denne algoritme registrerer en usædvanlig stor mængde vellykkede logons (sikkerhedshændelses-id 4624) pr. computer i løbet af den seneste dag. Modellen oplæres i de forrige 21 dage af Windows Sikkerhed hændelseslogge.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | Windows Sikkerhed logge |
| MITRE ATT&CK taktik: | Indledende adgang |
| MITRE ATT&CK-teknikker: | T1078 – Gyldige konti |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Mistænkelig mængde logon på computer med forhøjet token
Beskrivelse: Denne algoritme registrerer en usædvanlig stor mængde vellykkede logons (sikkerhedshændelses-id 4624) med administrative rettigheder pr. computer i løbet af den sidste dag. Modellen oplæres i de forrige 21 dage af Windows Sikkerhed hændelseslogge.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | Windows Sikkerhed logge |
| MITRE ATT&CK taktik: | Indledende adgang |
| MITRE ATT&CK-teknikker: | T1078 – Gyldige konti |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Mistænkelig mængde logon til brugerkonto
Beskrivelse: Denne algoritme registrerer en usædvanlig stor mængde vellykkede logons (sikkerhedshændelses-id 4624) pr. brugerkonto i løbet af den seneste dag. Modellen oplæres i de forrige 21 dage af Windows Sikkerhed hændelseslogge.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | Windows Sikkerhed logge |
| MITRE ATT&CK taktik: | Indledende adgang |
| MITRE ATT&CK-teknikker: | T1078 – Gyldige konti |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Mistænkelig mængde logon til brugerkonto efter logontyper
Beskrivelse: Denne algoritme registrerer en usædvanlig stor mængde vellykkede logons (sikkerhedshændelses-id 4624) pr. brugerkonto af forskellige logontyper i løbet af den seneste dag. Modellen oplæres i de forrige 21 dage af Windows Sikkerhed hændelseslogge.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | Windows Sikkerhed logge |
| MITRE ATT&CK taktik: | Indledende adgang |
| MITRE ATT&CK-teknikker: | T1078 – Gyldige konti |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Mistænkelig mængde logon til brugerkonto med forhøjet token
Beskrivelse: Denne algoritme registrerer en usædvanlig stor mængde vellykkede logons (sikkerhedshændelses-id 4624) med administrative rettigheder pr. brugerkonto i løbet af den sidste dag. Modellen oplæres i de forrige 21 dage af Windows Sikkerhed hændelseslogge.
| Attribut | Værdi |
|---|---|
| Uregelmæssighedstype: | Maskinel indlæring, der kan tilpasses |
| Datakilder: | Windows Sikkerhed logge |
| MITRE ATT&CK taktik: | Indledende adgang |
| MITRE ATT&CK-teknikker: | T1078 – Gyldige konti |
Tilbage til listen over uregelmæssigheder baseret på maskinel indlæring | Tilbage til toppen
Næste trin
- Få mere at vide om uregelmæssigheder genereret af maskinel indlæring i Microsoft Sentinel.
- Få mere at vide om, hvordan du arbejder med regler for uregelmæssigheder.
- Undersøg hændelser med Microsoft Sentinel.