Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Sentinel detecta anomalías mediante el análisis del comportamiento de los usuarios en un entorno durante un período de tiempo y la construcción de una línea base de actividad legítima. Una vez establecida la línea base, cualquier actividad fuera de los parámetros normales se considera anómala y, por tanto, sospechosa.
Microsoft Sentinel usa dos modelos para crear líneas base y detectar anomalías.
En este artículo se enumeran las anomalías que Microsoft Sentinel detecta mediante varios modelos de aprendizaje automático.
En la tabla Anomalías :
- La
rulenamecolumna indica la regla Sentinel usar para identificar cada anomalía. - La
scorecolumna contiene un valor numérico entre 0 y 1, que cuantifica el grado de desviación del comportamiento esperado. Las puntuaciones más altas indican una mayor desviación de la línea base y son más probables que sean anomalías verdaderas. Las puntuaciones más bajas pueden seguir siendo anómalas, pero son menos probables que sean significativas o accionables.
Nota:
Estas detecciones de anomalías se descontinuan a partir del 8 de marzo de 2026, debido a la baja calidad de los resultados:
- Algoritmo de generación de dominios (DGA) en dominios DNS
- Posible algoritmo de generación de dominio (DGA) en dominios DNS de siguiente nivel
Comparación de anomalías basadas en UEBA y aprendizaje automático
Las anomalías basadas en UEBA y aprendizaje automático (ML) son enfoques complementarios para la detección de anomalías. Ambos rellenan la Anomalies tabla, pero sirven para diferentes propósitos:
| Aspecto | Anomalías de UEBA | Reglas de detección de anomalías de ML |
|---|---|---|
| Foco | ¿Quién se comporta de forma inusual? | ¿Qué actividad es inusual? |
| Enfoque de detección | Líneas base de comportamiento centradas en la entidad en comparación con la actividad histórica, el comportamiento del mismo nivel y los patrones de toda la organización | Plantillas de regla personalizables mediante modelos estadísticos y de aprendizaje automático entrenados en patrones de datos específicos |
| Origen de línea base | Historial, grupo del mismo nivel y organización de cada entidad | Período de entrenamiento (normalmente de 7 a 21 días) en tipos de eventos específicos |
| Personalización | Habilitado o deshabilitado mediante la configuración de UEBA | Umbrales y parámetros ajustables mediante la interfaz de usuario de la regla de análisis |
| Ejemplos | Inicio de sesión anómalo, creación de cuentas anómalas, modificación de privilegios anómalos | Intento de fuerza bruta, descargas excesivas, balizamiento de red |
Para más información, vea:
Anomalías de UEBA
Sentinel UEBA detecta anomalías basadas en líneas base dinámicas creadas para cada entidad en varias entradas de datos. El comportamiento de línea base de cada entidad se establece según sus propias actividades históricas, las de sus pares y las de la organización en su conjunto. Las anomalías se pueden desencadenar mediante la correlación de distintos atributos, como el tipo de acción, la ubicación geográfica, el dispositivo, el recurso, el ISP, etc.
Debe habilitar UEBA y la detección de anomalías en el área de trabajo de Sentinel para detectar anomalías de UEBA.
UEBA detecta anomalías basadas en estas reglas de anomalías:
- Eliminación de acceso a cuentas anómalas de UEBA
- Creación de cuentas anómalas de UEBA
- Eliminación de cuentas anómalas de UEBA
- Manipulación anómala de cuentas de UEBA
- Actividad anómala de UEBA en los registros de auditoría de GCP
- Actividad anómala de UEBA en Okta_CL
- Autenticación anómala de UEBA
- Ejecución de código anómalo de UEBA
- Destrucción de datos anómala de UEBA
- Transferencia de datos anómala de UEBA desde Amazon S3
- Modificación del mecanismo de defensa anómalo de UEBA
- Inicio de sesión con errores anómalo de UEBA
- Actividad de identidad federada anómala de UEBA o SAML en AwsCloudTrail
- Modificación de privilegios de IAM anómalos de UEBA en AwsCloudTrail
- Inicio de sesión anómalo de UEBA en AwsCloudTrail
- Errores de MFA anómalo de UEBA en Okta_CL
- Restablecimiento de contraseña anómalo de UEBA
- Privilegio anómalo de UEBA concedido
- Acceso a claves de KMS o secreto anómalo de UEBA en AwsCloudTrail
- Inicio de sesión anómalo de UEBA
- Comportamiento anómalo de STS de UEBA AssumeRole en AwsCloudTrail
Sentinel usa datos enriquecidos de la tabla BehaviorAnalytics para identificar anomalías de UEBA con una puntuación de confianza específica para el inquilino y el origen.
Eliminación de acceso a cuentas anómalas de UEBA
Descripción: Un atacante puede interrumpir la disponibilidad de los recursos del sistema y de la red bloqueando el acceso a las cuentas que usan los usuarios legítimos. El atacante puede eliminar, bloquear o manipular una cuenta (por ejemplo, cambiando sus credenciales) para quitar el acceso a ella.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | registros de actividad de Azure |
| Tácticas de MITRE ATT&CK: | Impacto |
| Técnicas&CK de MITRE ATT: | T1531: Eliminación del acceso a la cuenta |
| Actividad: | Microsoft.Authorization/roleAssignments/delete Cerrar sesión |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Creación de cuentas anómalas de UEBA
Descripción: Los adversarios pueden crear una cuenta para mantener el acceso a los sistemas de destino. Con un nivel de acceso suficiente, la creación de dichas cuentas se puede usar para establecer el acceso con credenciales secundarias sin necesidad de implementar herramientas de acceso remoto persistentes en el sistema.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | registros de auditoría de Microsoft Entra |
| Tácticas de MITRE ATT&CK: | Persistencia |
| Técnicas&CK de MITRE ATT: | T1136- Crear cuenta |
| Técnicas secundarias de MITRE ATT&CK: | Cuenta en la nube |
| Actividad: | Directorio principal/UserManagement/Agregar usuario |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Eliminación de cuentas anómalas de UEBA
Descripción: Los adversarios pueden interrumpir la disponibilidad de los recursos del sistema y de la red inhibiendo el acceso a las cuentas utilizadas por usuarios legítimos. Las cuentas se pueden eliminar, bloquear o manipular (por ejemplo, credenciales modificadas) para quitar el acceso a las cuentas.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | registros de auditoría de Microsoft Entra |
| Tácticas de MITRE ATT&CK: | Impacto |
| Técnicas&CK de MITRE ATT: | T1531: Eliminación del acceso a la cuenta |
| Actividad: | Directorio principal/UserManagement/Eliminar usuario Directorio principal, dispositivo o usuario de eliminación Directorio principal/UserManagement/Eliminar usuario |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Manipulación anómala de cuentas de UEBA
Descripción: Los adversarios pueden manipular cuentas para mantener el acceso a los sistemas de destino. Estas acciones incluyen la adición de nuevas cuentas a grupos con privilegios elevados. Dragonfly 2.0, por ejemplo, agregó cuentas recién creadas al grupo de administradores para mantener el acceso con privilegios elevados. La consulta siguiente genera una salida de todos los usuarios de Radio de alta velocidad que realizan "Actualizar usuario" (cambio de nombre) a un rol con privilegios o aquellos que cambiaron los usuarios por primera vez.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | registros de auditoría de Microsoft Entra |
| Tácticas de MITRE ATT&CK: | Persistencia |
| Técnicas&CK de MITRE ATT: | T1098: Manipulación de cuentas |
| Actividad: | Core Directory/UserManagement/Update user |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Actividad anómala de UEBA en los registros de auditoría de GCP
Descripción: Error al acceder a los recursos de Google Cloud Platform (GCP) en función de las entradas relacionadas con IAM en los registros de auditoría de GCP. Estos errores pueden reflejar permisos mal configurados, intentos de acceso a servicios no autorizados o comportamientos de atacantes de fase temprana, como sondeo de privilegios o persistencia a través de cuentas de servicio.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros de auditoría de GCP |
| Tácticas de MITRE ATT&CK: | Descubrimiento |
| Técnicas&CK de MITRE ATT: | T1087 – Detección de cuentas, T1069 – Detección de grupos de permisos |
| Actividad: | iam.googleapis.com |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Actividad anómala de UEBA en Okta_CL
Descripción: Actividad de autenticación inesperada o cambios de configuración relacionados con la seguridad en Okta, incluidas las modificaciones en las reglas de inicio de sesión, la aplicación de la autenticación multifactor (MFA) o los privilegios administrativos. Esta actividad puede indicar intentos de modificar los controles de seguridad de identidad o mantener el acceso a través de cambios con privilegios.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros en la nube de Okta |
| Tácticas de MITRE ATT&CK: | Persistencia, escalación de privilegios |
| Técnicas&CK de MITRE ATT: | T1098 - Manipulación de cuentas, T1556 - Modificar proceso de autenticación |
| Actividad: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Autenticación anómala de UEBA
Descripción: Actividad de autenticación inusual en las señales de Microsoft Defender para punto de conexión y Microsoft Entra ID, incluidos los inicios de sesión de dispositivo, los inicios de sesión de identidad administrada y las autenticaciones de entidad de servicio desde Microsoft Entra ID. Estas anomalías pueden sugerir el uso indebido de credenciales, el abuso de identidades no humanas o los intentos de movimiento lateral fuera de los patrones de acceso típicos.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Microsoft Defender para punto de conexión, Microsoft Entra ID |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas&CK de MITRE ATT: | T1078: cuentas válidas |
| Actividad: |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Ejecución de código anómalo de UEBA
Descripción: Los adversarios pueden abusar de los intérpretes de comandos y scripts para ejecutar comandos, scripts o archivos binarios. Estas interfaces e idiomas proporcionan formas de interactuar con sistemas informáticos y son una característica común en muchas plataformas diferentes.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | registros de actividad de Azure |
| Tácticas de MITRE ATT&CK: | Ejecución |
| Técnicas&CK de MITRE ATT: | T1059: intérprete de comandos y scripting |
| Técnicas secundarias de MITRE ATT&CK: | PowerShell |
| Actividad: | Microsoft.Compute/virtualMachines/runCommand/action |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Destrucción de datos anómala de UEBA
Descripción: Los adversarios pueden destruir datos y archivos en sistemas específicos o en grandes cantidades en una red para interrumpir la disponibilidad de sistemas, servicios y recursos de red. Es probable que la destrucción de datos haga irrecuperables los datos almacenados mediante técnicas forenses a través de la sobrescritura de archivos o datos en unidades locales y remotas.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | registros de actividad de Azure |
| Tácticas de MITRE ATT&CK: | Impacto |
| Técnicas&CK de MITRE ATT: | T1485- Destrucción de datos |
| Actividad: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Transferencia de datos anómala de UEBA desde Amazon S3
Descripción: Desviaciones en los patrones de acceso a datos o descarga de Amazon Simple Storage Service (S3). La anomalía se determina mediante líneas base de comportamiento para cada usuario, servicio y recurso, comparando el volumen de transferencia de datos, la frecuencia y el número de objetos a los que se accede con las normas históricas. Las desviaciones significativas (como el acceso masivo por primera vez, las recuperaciones de datos inusualmente grandes o la actividad de nuevas ubicaciones o aplicaciones) pueden indicar posibles filtraciones de datos, infracciones de directivas o uso indebido de credenciales en peligro.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros de AWS CloudTrail |
| Tácticas de MITRE ATT&CK: | Filtración |
| Técnicas&CK de MITRE ATT: | T1567: filtración a través del servicio web |
| Actividad: | PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Modificación del mecanismo de defensa anómalo de UEBA
Descripción: Los adversarios pueden deshabilitar las herramientas de seguridad para evitar la posible detección de sus herramientas y actividades.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | registros de actividad de Azure |
| Tácticas de MITRE ATT&CK: | Evasión de defensa |
| Técnicas&CK de MITRE ATT: | T1562- Deterioro de las defensas |
| Técnicas secundarias de MITRE ATT&CK: | Deshabilitar o modificar herramientas Deshabilitación o modificación de Cloud Firewall |
| Actividad: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Inicio de sesión con errores anómalo de UEBA
Descripción: Los adversarios sin conocimientos previos de credenciales legítimas dentro del sistema o entorno pueden adivinar contraseñas para intentar acceder a las cuentas.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | registros de inicio de sesión de Microsoft Entra registros de Seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso a credenciales |
| Técnicas&CK de MITRE ATT: | T1110 - Fuerza bruta |
| Actividad: |
Microsoft Entra ID: Actividad de inicio de sesión Seguridad de Windows: Inicio de sesión con error (id. de evento 4625) |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Actividad de identidad federada anómala de UEBA o SAML en AwsCloudTrail
Descripción: Actividad inusual por identidades federadas o basadas en lenguaje de marcado de aserción de seguridad (SAML) que implican acciones por primera vez, ubicaciones geográficas desconocidas o llamadas API excesivas. Estas anomalías pueden indicar el secuestro de sesión o el uso indebido de credenciales federadas.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros de AWS CloudTrail |
| Tácticas de MITRE ATT&CK: | Acceso inicial, persistencia |
| Técnicas&CK de MITRE ATT: | T1078- Cuentas válidas, T1550 - Usar material de autenticación alternativo |
| Actividad: | UserAuthentication (EXTERNAL_IDP) |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Modificación de privilegios de IAM anómalos de UEBA en AwsCloudTrail
Descripción: Desviaciones en el comportamiento administrativo de Identity and Access Management (IAM), como la creación, modificación o eliminación por primera vez de roles, usuarios y grupos, o datos adjuntos de nuevas directivas insertadas o administradas. Esto puede indicar la extensión de privilegios o el abuso de directivas.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros de AWS CloudTrail |
| Tácticas de MITRE ATT&CK: | Escalación de privilegios, persistencia |
| Técnicas&CK de MITRE ATT: | T1136 - Crear cuenta, T1098 - Manipulación de cuentas |
| Actividad: | Operaciones Create, Add, Attach, Delete, Deactivate, Put y Update en iam.amazonaws.com, sso-directory.amazonaws.com |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Inicio de sesión anómalo de UEBA en AwsCloudTrail
Descripción: Actividad de inicio de sesión inusual en servicios de Amazon Web Services (AWS) basados en eventos de CloudTrail, como ConsoleLogin y otros atributos relacionados con la autenticación. Las anomalías se determinan por desviaciones en el comportamiento del usuario en función de atributos como la geolocalización, la huella digital del dispositivo, el ISP y el método de acceso, y pueden indicar intentos de acceso no autorizados o posibles infracciones de directivas.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros de AWS CloudTrail |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas&CK de MITRE ATT: | T1078: cuentas válidas |
| Actividad: | ConsoleLogin |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Errores de MFA anómalo de UEBA en Okta_CL
Descripción: Patrones inusuales de intentos de MFA erróneos en Okta. Estas anomalías pueden ser el resultado del uso incorrecto de la cuenta, el relleno de credenciales o el uso incorrecto de mecanismos de dispositivo de confianza, y a menudo reflejan comportamientos adversarios de fase temprana, como la prueba de credenciales robadas o el sondeo de las medidas de seguridad de identidad.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros en la nube de Okta |
| Tácticas de MITRE ATT&CK: | Persistencia, escalación de privilegios |
| Técnicas&CK de MITRE ATT: | T1078- Cuentas válidas, T1556 - Modificar proceso de autenticación |
| Actividad: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Restablecimiento de contraseña anómalo de UEBA
Descripción: Los adversarios pueden interrumpir la disponibilidad de los recursos del sistema y de la red inhibiendo el acceso a las cuentas utilizadas por usuarios legítimos. Las cuentas se pueden eliminar, bloquear o manipular (por ejemplo, credenciales modificadas) para quitar el acceso a las cuentas.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | registros de auditoría de Microsoft Entra |
| Tácticas de MITRE ATT&CK: | Impacto |
| Técnicas&CK de MITRE ATT: | T1531: Eliminación del acceso a la cuenta |
| Actividad: | Directorio principal/UserManagement/Restablecimiento de contraseña de usuario |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Privilegio anómalo de UEBA concedido
Descripción: Los adversarios pueden agregar credenciales controladas por adversarios para las entidades de servicio de Azure además de las credenciales legítimas existentes para mantener el acceso persistente a las cuentas Azure víctima.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | registros de auditoría de Microsoft Entra |
| Tácticas de MITRE ATT&CK: | Persistencia |
| Técnicas&CK de MITRE ATT: | T1098: Manipulación de cuentas |
| Técnicas secundarias de MITRE ATT&CK: | Credenciales adicionales Azure entidad de servicio |
| Actividad: | Aprovisionamiento de cuentas/Administración de aplicaciones/Agregar asignación de roles de aplicación a la entidad de servicio |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Acceso a claves de KMS o secreto anómalo de UEBA en AwsCloudTrail
Descripción: Acceso sospechoso a los recursos de AWS Secrets Manager o Key Management Service (KMS). El acceso por primera vez o una frecuencia de acceso inusualmente alta pueden indicar intentos de recopilación de credenciales o filtración de datos.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros de AWS CloudTrail |
| Tácticas de MITRE ATT&CK: | Acceso a credenciales, colección |
| Técnicas&CK de MITRE ATT: | T1555: credenciales de almacenes de contraseñas |
| Actividad: | GetSecretValue BatchGetSecretValue ListKeys ListSecrets PutSecretValue CreateSecret UpdateSecret DeleteSecret CreateKey PutKeyPolicy |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Inicio de sesión anómalo de UEBA
Descripción: Los adversarios pueden robar las credenciales de un usuario o una cuenta de servicio específicos mediante técnicas de acceso a credenciales o capturar credenciales antes en su proceso de reconocimiento a través de la ingeniería social para obtener persistencia.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | registros de inicio de sesión de Microsoft Entra registros de Seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Persistencia |
| Técnicas&CK de MITRE ATT: | T1078: cuentas válidas |
| Actividad: |
Microsoft Entra ID: Actividad de inicio de sesión Seguridad de Windows: Inicio de sesión correcto (id. de evento 4624) |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Comportamiento anómalo de STS de UEBA AssumeRole en AwsCloudTrail
Descripción: Uso anómalo de las acciones AssumeRole de AWS Security Token Service (STS), especialmente con roles con privilegios o acceso entre cuentas. Las desviaciones del uso típico pueden indicar una escalación de privilegios o un riesgo de identidad.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | UEBA |
| Orígenes de datos: | Registros de AWS CloudTrail |
| Tácticas de MITRE ATT&CK: | Escalación de privilegios, evasión de defensa |
| Técnicas&CK de MITRE ATT: | T1548 - Mecanismo de control de elevación de abuso, T1078 - Cuentas válidas |
| Actividad: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity AssumeRoot |
Volver a la lista | de anomalías de UEBAVolver a la parte superior
Anomalías basadas en aprendizaje automático
las anomalías personalizables basadas en aprendizaje automático de Microsoft Sentinel pueden identificar comportamientos anómalos con plantillas de reglas de análisis que se pueden poner a trabajar inmediatamente. Aunque las anomalías no indican necesariamente comportamientos malintencionados o incluso sospechosos por sí mismos, se pueden usar para mejorar las detecciones, las investigaciones y la búsqueda de amenazas.
- Operaciones de Azure anómalas
- Ejecución de código anómala
- Creación de cuentas locales anómalas
- Actividades de usuario anómalas en Office Exchange
- Intento de fuerza bruta del equipo
- Intento de fuerza bruta de la cuenta de usuario
- Intento de fuerza bruta de la cuenta de usuario por tipo de inicio de sesión
- Intento de fuerza bruta de la cuenta de usuario por motivo de error
- Detectar el comportamiento de la señalización de red generada por la máquina
- Algoritmo de generación de dominios (DGA) en dominios DNS
- Descargas excesivas a través de Palo Alto GlobalProtect
- Cargas excesivas a través de Palo Alto GlobalProtect
- Posible algoritmo de generación de dominio (DGA) en dominios DNS de siguiente nivel
- Volumen sospechoso de llamadas api de AWS desde una dirección IP de origen que no es de AWS
- Volumen sospechoso de llamadas api de escritura de AWS desde una cuenta de usuario
- Volumen sospechoso de inicios de sesión en el equipo
- Volumen sospechoso de inicios de sesión en el equipo con token elevado
- Volumen sospechoso de inicios de sesión en la cuenta de usuario
- Volumen sospechoso de inicios de sesión en la cuenta de usuario por tipos de inicio de sesión
- Volumen sospechoso de inicios de sesión en la cuenta de usuario con token elevado
Operaciones de Azure anómalas
Descripción: Este algoritmo de detección recopila datos de 21 días en Azure operaciones agrupadas por el usuario para entrenar este modelo de ML. A continuación, el algoritmo genera anomalías en el caso de los usuarios que realizaron secuencias de operaciones poco comunes en sus áreas de trabajo. El modelo de aprendizaje automático entrenado puntúa las operaciones realizadas por el usuario y considera anómalas aquellas cuya puntuación es mayor que el umbral definido.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | registros de actividad de Azure |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas&CK de MITRE ATT: | T1190- Exploit Public-Facing Application |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Ejecución de código anómala
Descripción: Los atacantes pueden abusar de los intérpretes de comandos y scripts para ejecutar comandos, scripts o archivos binarios. Estas interfaces e idiomas proporcionan formas de interactuar con sistemas informáticos y son una característica común en muchas plataformas diferentes.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | registros de actividad de Azure |
| Tácticas de MITRE ATT&CK: | Ejecución |
| Técnicas&CK de MITRE ATT: | T1059: intérprete de comandos y scripting |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Creación de cuentas locales anómalas
Descripción: Este algoritmo detecta la creación anómala de cuentas locales en sistemas Windows. Los atacantes pueden crear cuentas locales para mantener el acceso a los sistemas de destino. Este algoritmo analiza la actividad de creación de cuentas locales durante los 14 días anteriores por parte de los usuarios. Busca una actividad similar en el día actual de los usuarios que no se han visto anteriormente en la actividad histórica. Puede especificar una lista de permitidos para evitar que los usuarios conocidos desencadenen esta anomalía.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | registros de Seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Persistencia |
| Técnicas&CK de MITRE ATT: | T1136- Crear cuenta |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Actividades de usuario anómalas en Office Exchange
Descripción: Este modelo de aprendizaje automático agrupa los registros de Office Exchange por usuario en cubos por hora. Definimos una hora como sesión. El modelo se entrena en los 7 días anteriores de comportamiento en todos los usuarios normales (no administradores). Indica sesiones anómalas de Office Exchange de usuario en el último día.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registro de actividad de Office (Exchange) |
| Tácticas de MITRE ATT&CK: | Persistencia Colección |
| Técnicas&CK de MITRE ATT: |
Colección: T1114 : colección Email T1213: datos de repositorios de información Persistencia: T1098: Manipulación de cuentas T1136- Crear cuenta T1137: Inicio de la aplicación de Office T1505: componente de software de servidor |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Intento de fuerza bruta del equipo
Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (identificador de evento de seguridad 4625) por equipo durante el último día. El modelo se entrena en los 21 días anteriores de registros de eventos de seguridad de Windows.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | registros de Seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso a credenciales |
| Técnicas&CK de MITRE ATT: | T1110 - Fuerza bruta |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Intento de fuerza bruta de la cuenta de usuario
Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (id. de evento de seguridad 4625) por cuenta de usuario durante el último día. El modelo se entrena en los 21 días anteriores de registros de eventos de seguridad de Windows.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | registros de Seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso a credenciales |
| Técnicas&CK de MITRE ATT: | T1110 - Fuerza bruta |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Intento de fuerza bruta de la cuenta de usuario por tipo de inicio de sesión
Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (id. de evento de seguridad 4625) por cuenta de usuario por tipo de inicio de sesión durante el último día. El modelo se entrena en los 21 días anteriores de registros de eventos de seguridad de Windows.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | registros de Seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso a credenciales |
| Técnicas&CK de MITRE ATT: | T1110 - Fuerza bruta |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Intento de fuerza bruta de la cuenta de usuario por motivo de error
Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (id. de evento de seguridad 4625) por cuenta de usuario por motivo de error durante el último día. El modelo se entrena en los 21 días anteriores de registros de eventos de seguridad de Windows.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | registros de Seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso a credenciales |
| Técnicas&CK de MITRE ATT: | T1110 - Fuerza bruta |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Detectar el comportamiento de la señalización de red generada por la máquina
Descripción: Este algoritmo identifica los patrones de señalización de los registros de conexión de tráfico de red en función de los patrones de diferencia de tiempo recurrentes. Cualquier conexión de red hacia redes públicas que no son de confianza en tiempo repetitivo deltas es una indicación de devoluciones de llamada de malware o intentos de filtración de datos. El algoritmo calculará la diferencia de tiempo entre las conexiones de red consecutivas entre la misma dirección IP de origen y la dirección IP de destino, así como el número de conexiones en una secuencia de diferencia temporal entre los mismos orígenes y destinos. El porcentaje de balizamiento se calcula como las conexiones en secuencia de diferencia de tiempo con respecto al total de conexiones en un día.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | CommonSecurityLog (PAN) |
| Tácticas de MITRE ATT&CK: | Comando y control |
| Técnicas&CK de MITRE ATT: | T1071: protocolo de capa de aplicación T1132: codificación de datos T1001: ofuscación de datos T1568: resolución dinámica T1573: canal cifrado T1008: canales de reserva T1104: canales de varias fases T1095: protocolo de capa que no es de aplicación T1571: puerto no Standard T1572- Tunelización de protocolos T1090: proxy T1205: señalización de tráfico T1102: servicio web |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Algoritmo de generación de dominios (DGA) en dominios DNS
Descripción: Este modelo de aprendizaje automático indica posibles dominios DGA del día anterior en los registros DNS. El algoritmo se aplica a los registros DNS que se resuelven en direcciones IPv4 e IPv6.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Eventos DNS |
| Tácticas de MITRE ATT&CK: | Comando y control |
| Técnicas&CK de MITRE ATT: | T1568: resolución dinámica |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Descargas excesivas a través de Palo Alto GlobalProtect
Descripción: Este algoritmo detecta un volumen inusualmente alto de descarga por cuenta de usuario a través de la solución VPN de Palo Alto. El modelo se entrena en los 14 días anteriores de los registros de VPN. Indica un volumen anómalo de descargas en el último día.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | CommonSecurityLog (VPN de PAN) |
| Tácticas de MITRE ATT&CK: | Filtración |
| Técnicas&CK de MITRE ATT: | T1030: límites de tamaño de transferencia de datos T1041: filtración a través del canal C2 T1011: filtración a través de otro medio de red T1567: filtración a través del servicio web T1029: transferencia programada T1537: Transferencia de datos a una cuenta en la nube |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Cargas excesivas a través de Palo Alto GlobalProtect
Descripción: Este algoritmo detecta un volumen inusualmente alto de carga por cuenta de usuario a través de la solución VPN de Palo Alto. El modelo se entrena en los 14 días anteriores de los registros de VPN. Indica un volumen elevado anómalo de carga en el último día.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | CommonSecurityLog (VPN de PAN) |
| Tácticas de MITRE ATT&CK: | Filtración |
| Técnicas&CK de MITRE ATT: | T1030: límites de tamaño de transferencia de datos T1041: filtración a través del canal C2 T1011: filtración a través de otro medio de red T1567: filtración a través del servicio web T1029: transferencia programada T1537: Transferencia de datos a una cuenta en la nube |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Posible algoritmo de generación de dominio (DGA) en dominios DNS de siguiente nivel
Descripción: Este modelo de aprendizaje automático indica los dominios de siguiente nivel (de tercer nivel y superior) de los nombres de dominio del último día de registros DNS que son inusuales. Podrían ser la salida de un algoritmo de generación de dominio (DGA). La anomalía se aplica a los registros DNS que se resuelven en direcciones IPv4 e IPv6.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Eventos DNS |
| Tácticas de MITRE ATT&CK: | Comando y control |
| Técnicas&CK de MITRE ATT: | T1568: resolución dinámica |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Volumen sospechoso de llamadas api de AWS desde una dirección IP de origen que no es de AWS
Descripción: Este algoritmo detecta un volumen inusualmente alto de llamadas API de AWS por cuenta de usuario por área de trabajo, desde direcciones IP de origen fuera de los intervalos IP de origen de AWS, en el último día. El modelo se entrena en los 21 días anteriores de eventos de registro de AWS CloudTrail por dirección IP de origen. Esta actividad puede indicar que la cuenta de usuario está en peligro.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de AWS CloudTrail |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas&CK de MITRE ATT: | T1078: cuentas válidas |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Volumen sospechoso de llamadas api de escritura de AWS desde una cuenta de usuario
Descripción: Este algoritmo detecta un volumen inusualmente alto de llamadas API de escritura de AWS por cuenta de usuario en el último día. El modelo se entrena en los 21 días anteriores de eventos de registro de AWS CloudTrail por cuenta de usuario. Esta actividad puede indicar que la cuenta está en peligro.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | Registros de AWS CloudTrail |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas&CK de MITRE ATT: | T1078: cuentas válidas |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Volumen sospechoso de inicios de sesión en el equipo
Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) por equipo durante el último día. El modelo se entrena en los 21 días anteriores de Seguridad de Windows registros de eventos.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | registros de Seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas&CK de MITRE ATT: | T1078: cuentas válidas |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Volumen sospechoso de inicios de sesión en el equipo con token elevado
Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) con privilegios administrativos, por equipo, durante el último día. El modelo se entrena en los 21 días anteriores de Seguridad de Windows registros de eventos.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | registros de Seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas&CK de MITRE ATT: | T1078: cuentas válidas |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Volumen sospechoso de inicios de sesión en la cuenta de usuario
Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) por cuenta de usuario durante el último día. El modelo se entrena en los 21 días anteriores de Seguridad de Windows registros de eventos.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | registros de Seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas&CK de MITRE ATT: | T1078: cuentas válidas |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Volumen sospechoso de inicios de sesión en la cuenta de usuario por tipos de inicio de sesión
Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) por cuenta de usuario, por diferentes tipos de inicio de sesión, durante el último día. El modelo se entrena en los 21 días anteriores de Seguridad de Windows registros de eventos.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | registros de Seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas&CK de MITRE ATT: | T1078: cuentas válidas |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Volumen sospechoso de inicios de sesión en la cuenta de usuario con token elevado
Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (id. de evento de seguridad 4624) con privilegios administrativos, por cuenta de usuario, durante el último día. El modelo se entrena en los 21 días anteriores de Seguridad de Windows registros de eventos.
| Atributo | Valor |
|---|---|
| Tipo de anomalía: | Aprendizaje automático personalizable |
| Orígenes de datos: | registros de Seguridad de Windows |
| Tácticas de MITRE ATT&CK: | Acceso inicial |
| Técnicas&CK de MITRE ATT: | T1078: cuentas válidas |
Volver a la lista de anomalías basadas en Machine Learning | Volver a la parte superior
Pasos siguientes
- Obtenga información sobre las anomalías generadas por el aprendizaje automático en Microsoft Sentinel.
- Obtenga información sobre cómo trabajar con reglas de anomalías.
- Investigue los incidentes con Microsoft Sentinel.