Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Sentinel détecte les anomalies en analysant le comportement des utilisateurs dans un environnement sur une période donnée et en construisant une base de référence d’activité légitime. Une fois la base de référence établie, toute activité en dehors des paramètres normaux est considérée comme anormale et donc suspecte.
Microsoft Sentinel utilise deux modèles pour créer des bases de référence et détecter les anomalies.
Cet article répertorie les anomalies détectées Microsoft Sentinel à l’aide de différents modèles Machine Learning.
Dans la table Anomalies :
- La
rulenamecolonne indique la règle Sentinel utilisée pour identifier chaque anomalie. - La
scorecolonne contient une valeur numérique comprise entre 0 et 1, qui quantifie le degré d’écart par rapport au comportement attendu. Des scores plus élevés indiquent un écart plus important par rapport à la base de référence et sont plus susceptibles d’être de véritables anomalies. Les scores inférieurs peuvent toujours être anormaux, mais sont moins susceptibles d’être significatifs ou actionnables.
Remarque
Ces détections d’anomalies sont abandonnées à compter du 8 mars 2026, en raison de la faible qualité des résultats :
- Algorithme de génération de domaine (DGA) sur les domaines DNS
- Algorithme de génération de domaine potentiel (DGA) sur les domaines DNS de niveau supérieur
Comparer les anomalies ueba et machine learning
Les anomalies basées sur UEBA et machine learning (ML) sont des approches complémentaires de la détection des anomalies. Les deux remplissent la Anomalies table, mais ont des objectifs différents :
| Aspect | Anomalies UEBA | Règles de détection des anomalies ML |
|---|---|---|
| Focus | Qui se comporte de façon inhabituelle | Quelle activité est inhabituelle |
| Approche de détection | Comparaison des bases de référence comportementales axées sur les entités par rapport à l’activité historique, au comportement des homologues et aux modèles à l’échelle de l’organization | Modèles de règles personnalisables à l’aide de modèles statistiques et ML entraînés sur des modèles de données spécifiques |
| Source de référence | L’historique, le groupe d’homologues et les organization de chaque entité | Période d’entraînement (généralement de 7 à 21 jours) sur des types d’événements spécifiques |
| Personnalisation | Activé/désactivé à l’aide des paramètres UEBA | Seuils et paramètres paramétrables à l’aide de l’interface utilisateur des règles d’analytique |
| Exemples | Connexion anormale, création de compte anormale, modification anormale des privilèges | Tentative de force brute, téléchargements excessifs, balises réseau |
Pour plus d’informations, reportez-vous aux rubriques suivantes :
Anomalies UEBA
Sentinel UEBA détecte les anomalies en fonction des bases de référence dynamiques créées pour chaque entité sur différentes entrées de données. Le comportement de base de chaque entité est défini en fonction de ses propres activités historiques, de celles de ses homologues et de celles du organization dans son ensemble. Les anomalies peuvent être déclenchées par la corrélation de différents attributs tels que le type d’action, la géolocalisation, l’appareil, la ressource, le fournisseur de services Internet, etc.
Vous devez activer UEBA et la détection d’anomalies dans votre espace de travail Sentinel pour détecter les anomalies UEBA.
UEBA détecte les anomalies en fonction de ces règles d’anomalie :
- Suppression anormale de l’accès au compte UEBA
- Création de compte anormal UEBA
- Suppression anormale de compte UEBA
- Manipulation anormale de compte UEBA
- Activité anormale UEBA dans les journaux d’audit GCP
- Activité anormale UEBA dans Okta_CL
- Authentification anormale UEBA
- Exécution de code anormale UEBA
- Destruction anormale des données UEBA
- Transfert de données anormaux UEBA à partir d’Amazon S3
- Modification anormale du mécanisme défensif UEBA
- Échec de connexion anormal à UEBA
- Activité d’identité fédérée ou SAML anormale UEBA dans AwsCloudTrail
- Modification anormale des privilèges IAM UEBA dans AwsCloudTrail
- Ouverture de session anormale UEBA dans AwsCloudTrail
- Échecs anormaux de l’authentification multifacteur UEBA dans Okta_CL
- Réinitialisation anormale du mot de passe UEBA
- Privilège anormal accordé à l’UEBA
- Accès au secret anormal ou à la clé KMS UEBA dans AwsCloudTrail
- Connexion anormale UEBA
- Comportement ANORMAL DE STS AssumeRole UEBA dans AwsCloudTrail
Sentinel utilise des données enrichies de la table BehaviorAnalytics pour identifier les anomalies UEBA avec un score de confiance spécifique à votre locataire et à votre source.
Suppression anormale de l’accès au compte UEBA
Description: Un attaquant peut interrompre la disponibilité des ressources système et réseau en bloquant l’accès aux comptes utilisés par les utilisateurs légitimes. L’attaquant peut supprimer, verrouiller ou manipuler un compte (par exemple, en modifiant ses informations d’identification) pour supprimer l’accès à celui-ci.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | journaux d’activité Azure |
| MITRE ATT&tactiques CK : | Impact |
| TECHNIQUES MITRE ATT&CK : | T1531 - Suppression de l’accès au compte |
| Activité: | Microsoft.Authorization/roleAssignments/delete Se déconnecter |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Création de compte anormal UEBA
Description: Les adversaires peuvent créer un compte pour conserver l’accès aux systèmes ciblés. Avec un niveau d’accès suffisant, la création de ces comptes peut être utilisée pour établir un accès secondaire avec des informations d’identification sans nécessiter le déploiement d’outils d’accès à distance persistants sur le système.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | journaux d’audit Microsoft Entra |
| MITRE ATT&tactiques CK : | Persistance |
| TECHNIQUES MITRE ATT&CK : | T1136 - Créer un compte |
| MITRE ATT&sous-techniques CK : | Compte cloud |
| Activité: | Répertoire principal/UserManagement/Ajouter un utilisateur |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Suppression anormale de compte UEBA
Description: Les adversaires peuvent interrompre la disponibilité des ressources système et réseau en empêchant l’accès aux comptes utilisés par les utilisateurs légitimes. Les comptes peuvent être supprimés, verrouillés ou manipulés (par exemple, les informations d’identification modifiées) pour supprimer l’accès aux comptes.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | journaux d’audit Microsoft Entra |
| MITRE ATT&tactiques CK : | Impact |
| TECHNIQUES MITRE ATT&CK : | T1531 - Suppression de l’accès au compte |
| Activité: | Répertoire principal/UserManagement/Supprimer l’utilisateur Répertoire principal/appareil/Supprimer l’utilisateur Répertoire principal/UserManagement/Supprimer l’utilisateur |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Manipulation anormale de compte UEBA
Description: Les adversaires peuvent manipuler des comptes pour conserver l’accès aux systèmes cibles. Ces actions incluent l’ajout de nouveaux comptes à des groupes à privilèges élevés. Dragonfly 2.0, par exemple, a ajouté des comptes nouvellement créés au groupe administrateurs pour maintenir l’accès élevé. La requête ci-dessous génère une sortie de tous les utilisateurs à rayon élevé exécutant « Mettre à jour l’utilisateur » (changement de nom) vers un rôle privilégié, ou ceux qui ont changé d’utilisateur pour la première fois.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | journaux d’audit Microsoft Entra |
| MITRE ATT&tactiques CK : | Persistance |
| TECHNIQUES MITRE ATT&CK : | T1098 - Manipulation de compte |
| Activité: | Répertoire principal/UserManagement/Utilisateur de mise à jour |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Activité anormale UEBA dans les journaux d’audit GCP
Description: Échec des tentatives d’accès aux ressources Google Cloud Platform (GCP) en fonction des entrées liées à IAM dans les journaux d’audit GCP. Ces échecs peuvent refléter des autorisations mal configurées, des tentatives d’accès à des services non autorisés ou des comportements d’attaquant à un stade précoce, comme la détection de privilèges ou la persistance via des comptes de service.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux d’audit GCP |
| MITRE ATT&tactiques CK : | Découverte |
| TECHNIQUES MITRE ATT&CK : | T1087 – Découverte de compte, T1069 – Découverte des groupes d’autorisations |
| Activité: | iam.googleapis.com |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Activité anormale UEBA dans Okta_CL
Description: Activités d’authentification inattendues ou modifications de configuration liées à la sécurité dans Okta, notamment les modifications apportées aux règles d’authentification, à l’application de l’authentification multifacteur (MFA) ou aux privilèges administratifs. Une telle activité peut indiquer des tentatives de modification des contrôles de sécurité d’identité ou de maintien de l’accès via des modifications privilégiées.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux Okta Cloud |
| MITRE ATT&tactiques CK : | Persistance, Élévation des privilèges |
| TECHNIQUES MITRE ATT&CK : | T1098 - Manipulation de compte, T1556 - Modifier le processus d’authentification |
| Activité: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Authentification anormale UEBA
Description: Activité d’authentification inhabituelle sur les signaux des Microsoft Defender pour point de terminaison et des Microsoft Entra ID, y compris les connexions d’appareils, les connexions d’identité managée et les authentifications de principal de service à partir de Microsoft Entra ID. Ces anomalies peuvent suggérer une mauvaise utilisation des informations d’identification, un abus d’identité non humaine ou des tentatives de mouvement latéral en dehors des modèles d’accès classiques.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Microsoft Defender pour point de terminaison, Microsoft Entra ID |
| MITRE ATT&tactiques CK : | Accès initial |
| TECHNIQUES MITRE ATT&CK : | T1078 - Comptes valides |
| Activité: |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Exécution de code anormale UEBA
Description: Les adversaires peuvent abuser des interpréteurs de commandes et de scripts pour exécuter des commandes, des scripts ou des fichiers binaires. Ces interfaces et langages fournissent des moyens d’interagir avec les systèmes informatiques et sont une fonctionnalité commune à de nombreuses plateformes différentes.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | journaux d’activité Azure |
| MITRE ATT&tactiques CK : | Exécution |
| TECHNIQUES MITRE ATT&CK : | T1059 - Interpréteur de commandes et de scripts |
| MITRE ATT&sous-techniques CK : | PowerShell |
| Activité: | Microsoft.Compute/virtualMachines/runCommand/action |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Destruction anormale des données UEBA
Description: Les adversaires peuvent détruire des données et des fichiers sur des systèmes spécifiques ou en grand nombre sur un réseau pour interrompre la disponibilité des systèmes, des services et des ressources réseau. La destruction des données est susceptible de rendre les données stockées irrécupérables par des techniques d’investigation en remplaçant des fichiers ou des données sur des lecteurs locaux et distants.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | journaux d’activité Azure |
| MITRE ATT&tactiques CK : | Impact |
| TECHNIQUES MITRE ATT&CK : | T1485 - Destruction des données |
| Activité: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Transfert de données anormaux UEBA à partir d’Amazon S3
Description: Écarts dans les modèles d’accès aux données ou de téléchargement à partir d’Amazon Simple Storage Service (S3). L’anomalie est déterminée à l’aide de bases de référence comportementales pour chaque utilisateur, service et ressource, en comparant le volume de transfert de données, la fréquence et le nombre d’objets consultés aux normes historiques. Des écarts significatifs , tels que le premier accès en bloc, les récupérations de données inhabituellement volumineuses ou l’activité à partir de nouveaux emplacements ou applications, peuvent indiquer une exfiltration de données potentielle, des violations de stratégie ou une mauvaise utilisation des informations d’identification compromises.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux AWS CloudTrail |
| MITRE ATT&tactiques CK : | Exfiltration |
| TECHNIQUES MITRE ATT&CK : | T1567 - Exfiltration sur le service web |
| Activité: | PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Modification anormale du mécanisme défensif UEBA
Description: Les adversaires peuvent désactiver les outils de sécurité pour éviter la détection possible de leurs outils et activités.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | journaux d’activité Azure |
| MITRE ATT&tactiques CK : | Fraude à la défense |
| TECHNIQUES MITRE ATT&CK : | T1562 - Défenses altérées |
| MITRE ATT&sous-techniques CK : | Désactiver ou modifier des outils Désactiver ou modifier le pare-feu cloud |
| Activité: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Échec de connexion anormal à UEBA
Description: Les adversaires sans connaissance préalable des informations d’identification légitimes au sein du système ou de l’environnement peuvent deviner des mots de passe pour tenter d’accéder aux comptes.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Microsoft Entra journaux de connexion journaux Sécurité Windows |
| MITRE ATT&tactiques CK : | Accès informations d'identification |
| TECHNIQUES MITRE ATT&CK : | T1110 - Brute Force |
| Activité: |
Microsoft Entra ID : Activité de connexion Sécurité Windows : Échec de connexion (ID d’événement 4625) |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Activité d’identité fédérée ou SAML anormale UEBA dans AwsCloudTrail
Description: Activité inhabituelle par des identités fédérées ou basées sur SAML (Security Assertion Markup Language) impliquant des actions de première fois, des emplacements géographiques inconnus ou des appels d’API excessifs. Ces anomalies peuvent indiquer un détournement de session ou une mauvaise utilisation des informations d’identification fédérées.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux AWS CloudTrail |
| MITRE ATT&tactiques CK : | Accès initial, persistance |
| TECHNIQUES MITRE ATT&CK : | T1078 - Comptes valides, T1550 - Utiliser un autre matériel d’authentification |
| Activité: | UserAuthentication (EXTERNAL_IDP) |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Modification anormale des privilèges IAM UEBA dans AwsCloudTrail
Description: Écarts dans le comportement administratif de gestion des identités et des accès (IAM), tels que la création, la modification ou la suppression de rôles, d’utilisateurs et de groupes, ou la pièce jointe de nouvelles stratégies inline ou managées. Ceux-ci peuvent indiquer une escalade de privilèges ou un abus de stratégie.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux AWS CloudTrail |
| MITRE ATT&tactiques CK : | Escalade de privilèges, persistance |
| TECHNIQUES MITRE ATT&CK : | T1136 - Créer un compte, T1098 - Manipulation de compte |
| Activité: | Opérations Créer, Ajouter, Attacher, Supprimer, Désactiver, Placer et Mettre à jour sur iam.amazonaws.com, sso-directory.amazonaws.com |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Ouverture de session anormale UEBA dans AwsCloudTrail
Description: Activité d’ouverture de session inhabituelle dans les services Amazon Web Services (AWS) basée sur des événements CloudTrail tels que ConsoleLogin et d’autres attributs liés à l’authentification. Les anomalies sont déterminées par des écarts dans le comportement de l’utilisateur en fonction d’attributs tels que la géolocalisation, l’empreinte digitale de l’appareil, le fournisseur de services Internet et la méthode d’accès, et peuvent indiquer des tentatives d’accès non autorisées ou des violations potentielles de stratégie.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux AWS CloudTrail |
| MITRE ATT&tactiques CK : | Accès initial |
| TECHNIQUES MITRE ATT&CK : | T1078 - Comptes valides |
| Activité: | ConsoleLogin |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Échecs anormaux de l’authentification multifacteur UEBA dans Okta_CL
Description: Modèles inhabituels de tentatives MFA ayant échoué dans Okta. Ces anomalies peuvent résulter d’une mauvaise utilisation du compte, de l’utilisation d’informations d’identification ou d’une utilisation incorrecte de mécanismes d’appareil approuvés, et reflètent souvent des comportements d’adversaire à un stade précoce, tels que le test d’informations d’identification volées ou la détection de protections d’identité.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux Okta Cloud |
| MITRE ATT&tactiques CK : | Persistance, Élévation des privilèges |
| TECHNIQUES MITRE ATT&CK : | T1078 - Comptes valides, T1556 - Modifier le processus d’authentification |
| Activité: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Réinitialisation anormale du mot de passe UEBA
Description: Les adversaires peuvent interrompre la disponibilité des ressources système et réseau en empêchant l’accès aux comptes utilisés par les utilisateurs légitimes. Les comptes peuvent être supprimés, verrouillés ou manipulés (par exemple, les informations d’identification modifiées) pour supprimer l’accès aux comptes.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | journaux d’audit Microsoft Entra |
| MITRE ATT&tactiques CK : | Impact |
| TECHNIQUES MITRE ATT&CK : | T1531 - Suppression de l’accès au compte |
| Activité: | Répertoire principal/UserManagement/Réinitialisation du mot de passe de l’utilisateur |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Privilège anormal accordé à l’UEBA
Description: Les adversaires peuvent ajouter des informations d’identification contrôlées par l’adversaire pour Azure principaux de service en plus des informations d’identification légitimes existantes afin de conserver un accès persistant aux comptes Azure victimes.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | journaux d’audit Microsoft Entra |
| MITRE ATT&tactiques CK : | Persistance |
| TECHNIQUES MITRE ATT&CK : | T1098 - Manipulation de compte |
| MITRE ATT&sous-techniques CK : | Informations d’identification supplémentaires du principal de service Azure |
| Activité: | Provisionnement de compte/Gestion des applications/Ajouter une attribution de rôle d’application au principal de service |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Accès au secret anormal ou à la clé KMS UEBA dans AwsCloudTrail
Description: Accès suspect aux ressources AWS Secrets Manager ou KMS (Key Management Service). Un premier accès ou une fréquence d’accès inhabituellement élevée peuvent indiquer la collecte des informations d’identification ou les tentatives d’exfiltration de données.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux AWS CloudTrail |
| MITRE ATT&tactiques CK : | Accès aux informations d’identification, collection |
| TECHNIQUES MITRE ATT&CK : | T1555 - Informations d’identification des magasins de mots de passe |
| Activité: | GetSecretValue BatchGetSecretValue ListKeys ListSecrets PutSecretValue CreateSecret UpdateSecret DeleteSecret CreateKey PutKeyPolicy |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Connexion anormale UEBA
Description: Les adversaires peuvent voler les informations d’identification d’un utilisateur ou d’un compte de service spécifique à l’aide de techniques d’accès aux informations d’identification ou capturer des informations d’identification plus tôt dans leur processus de reconnaissance via l’ingénierie sociale pour obtenir la persistance.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Microsoft Entra journaux de connexion journaux Sécurité Windows |
| MITRE ATT&tactiques CK : | Persistance |
| TECHNIQUES MITRE ATT&CK : | T1078 - Comptes valides |
| Activité: |
Microsoft Entra ID : Activité de connexion Sécurité Windows : Connexion réussie (ID d’événement 4624) |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Comportement ANORMAL DE STS AssumeRole UEBA dans AwsCloudTrail
Description: Utilisation anormale des actions ASS (Aws Security Token Service) AssumeRole, en particulier impliquant des rôles privilégiés ou un accès entre comptes. Les écarts par rapport à l’utilisation classique peuvent indiquer une escalade des privilèges ou une compromission d’identité.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | UEBA |
| Sources de données : | Journaux AWS CloudTrail |
| MITRE ATT&tactiques CK : | Escalade de privilèges, évasion de défense |
| TECHNIQUES MITRE ATT&CK : | T1548 - Mécanisme de contrôle d’élévation des abus, T1078 - Comptes valides |
| Activité: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity AssumeRoot |
Revenir à la liste | des anomalies UEBARetour en haut de la page
Anomalies basées sur le Machine Learning
Microsoft Sentinel anomalies personnalisables basées sur le Machine Learning peuvent identifier un comportement anormal avec des modèles de règles d’analyse qui peuvent être mis en œuvre dès la boîte. Bien que les anomalies n’indiquent pas nécessairement un comportement malveillant ou même suspect par elles-mêmes, elles peuvent être utilisées pour améliorer les détections, les enquêtes et la chasse aux menaces.
- Opérations de Azure anormales
- Exécution de code anormale
- Création anormale d’un compte local
- Activités anormales des utilisateurs dans Office Exchange
- Tentative de force brute de l’ordinateur
- Tentative de force brute de compte d’utilisateur
- Tentative de force brute de compte d’utilisateur par type de connexion
- Tentative de force brute de compte d’utilisateur par raison d’échec
- Détecter le comportement de balise réseau généré par l’ordinateur
- Algorithme de génération de domaine (DGA) sur les domaines DNS
- Téléchargements excessifs via Palo Alto GlobalProtect
- Chargements excessifs via Palo Alto GlobalProtect
- Algorithme de génération de domaine potentiel (DGA) sur les domaines DNS de niveau supérieur
- Volume suspect d’appels d’API AWS à partir d’une adresse IP source non AWS
- Volume suspect d’appels d’API d’écriture AWS à partir d’un compte d’utilisateur
- Volume suspect de connexions à l’ordinateur
- Volume suspect de connexions à l’ordinateur avec jeton élevé
- Volume suspect de connexions au compte d’utilisateur
- Volume suspect de connexions au compte d’utilisateur par type d’ouverture de session
- Volume suspect de connexions au compte d’utilisateur avec jeton élevé
Opérations de Azure anormales
Description: Cet algorithme de détection collecte 21 jours de données sur Azure opérations regroupées par utilisateur pour entraîner ce modèle ML. L’algorithme génère ensuite des anomalies dans le cas d’utilisateurs qui ont effectué des séquences d’opérations inhabituelles dans leurs espaces de travail. Le modèle ML entraîné évalue les opérations effectuées par l’utilisateur et considère celles anormales dont le score est supérieur au seuil défini.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | journaux d’activité Azure |
| MITRE ATT&tactiques CK : | Accès initial |
| TECHNIQUES MITRE ATT&CK : | T1190 - Exploit Public-Facing Application |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Exécution de code anormale
Description: Les attaquants peuvent abuser des interpréteurs de commandes et de scripts pour exécuter des commandes, des scripts ou des fichiers binaires. Ces interfaces et langages fournissent des moyens d’interagir avec les systèmes informatiques et sont une fonctionnalité commune à de nombreuses plateformes différentes.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | journaux d’activité Azure |
| MITRE ATT&tactiques CK : | Exécution |
| TECHNIQUES MITRE ATT&CK : | T1059 - Interpréteur de commandes et de scripts |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Création anormale d’un compte local
Description: Cet algorithme détecte la création anormale de comptes locaux sur les systèmes Windows. Les attaquants peuvent créer des comptes locaux pour conserver l’accès aux systèmes ciblés. Cet algorithme analyse l’activité de création de compte local au cours des 14 jours précédents par les utilisateurs. Il recherche une activité similaire le jour actuel des utilisateurs qui n’ont pas été vus précédemment dans l’activité historique. Vous pouvez spécifier une liste d’autorisation pour filtrer les utilisateurs connus du déclenchement de cette anomalie.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | journaux Sécurité Windows |
| MITRE ATT&tactiques CK : | Persistance |
| TECHNIQUES MITRE ATT&CK : | T1136 - Créer un compte |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Activités anormales des utilisateurs dans Office Exchange
Description: Ce modèle Machine Learning regroupe les journaux Office Exchange par utilisateur en compartiments horaires. Nous définissons une heure comme une session. Le modèle est entraîné sur les 7 jours précédents de comportement sur tous les utilisateurs réguliers (non administrateurs). Il indique des sessions Office Exchange anormales de l’utilisateur au cours du dernier jour.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journal d’activité Office (Exchange) |
| MITRE ATT&tactiques CK : | Persistance Collection |
| TECHNIQUES MITRE ATT&CK : |
Collection: T1114 - Email Collection T1213 - Données des référentiels d’informations Persistance: T1098 - Manipulation de compte T1136 - Créer un compte T1137 - Démarrage de l’application Office T1505 - Composant logiciel serveur |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Tentative de force brute de l’ordinateur
Description: Cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par ordinateur au cours du dernier jour. Le modèle est formé sur les 21 jours précédents des journaux des événements de sécurité Windows.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | journaux Sécurité Windows |
| MITRE ATT&tactiques CK : | Accès informations d'identification |
| TECHNIQUES MITRE ATT&CK : | T1110 - Brute Force |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Tentative de force brute de compte d’utilisateur
Description: Cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par compte d’utilisateur au cours du dernier jour. Le modèle est formé sur les 21 jours précédents des journaux des événements de sécurité Windows.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | journaux Sécurité Windows |
| MITRE ATT&tactiques CK : | Accès informations d'identification |
| TECHNIQUES MITRE ATT&CK : | T1110 - Brute Force |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Tentative de force brute de compte d’utilisateur par type de connexion
Description: Cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par compte d’utilisateur et par type d’ouverture de session au cours du dernier jour. Le modèle est formé sur les 21 jours précédents des journaux des événements de sécurité Windows.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | journaux Sécurité Windows |
| MITRE ATT&tactiques CK : | Accès informations d'identification |
| TECHNIQUES MITRE ATT&CK : | T1110 - Brute Force |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Tentative de force brute de compte d’utilisateur par raison d’échec
Description: Cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par compte d’utilisateur et par raison d’échec au cours du dernier jour. Le modèle est formé sur les 21 jours précédents des journaux des événements de sécurité Windows.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | journaux Sécurité Windows |
| MITRE ATT&tactiques CK : | Accès informations d'identification |
| TECHNIQUES MITRE ATT&CK : | T1110 - Brute Force |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Détecter le comportement de balise réseau généré par l’ordinateur
Description: Cet algorithme identifie les modèles de balise à partir des journaux de connexion du trafic réseau en fonction de modèles de delta de temps récurrents. Toute connexion réseau vers des réseaux publics non approuvés à des deltas de temps répétitifs est une indication de rappels de programmes malveillants ou de tentatives d’exfiltration de données. L’algorithme calcule le delta de temps entre les connexions réseau consécutives entre la même adresse IP source et l’adresse IP de destination, ainsi que le nombre de connexions dans une séquence de delta de temps entre les mêmes sources et destinations. Le pourcentage de balises est calculé en tant que connexions dans la séquence de delta du temps par rapport au nombre total de connexions dans un jour.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | CommonSecurityLog (PAN) |
| MITRE ATT&tactiques CK : | Commande et contrôle |
| TECHNIQUES MITRE ATT&CK : | T1071 - Protocole de couche application T1132 - Encodage des données T1001 - Obfuscation des données T1568 - Résolution dynamique T1573 - Canal chiffré T1008 - Canaux de secours T1104 - Canaux multiphases T1095 - Protocole non-application T1571 - Port non Standard T1572 - Tunneling de protocole T1090 - Proxy T1205 - Signalisation du trafic T1102 - Web Service |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Algorithme de génération de domaine (DGA) sur les domaines DNS
Description: Ce modèle Machine Learning indique les domaines DGA potentiels du dernier jour dans les journaux DNS. L’algorithme s’applique aux enregistrements DNS qui sont résolus en adresses IPv4 et IPv6.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Événements DNS |
| MITRE ATT&tactiques CK : | Commande et contrôle |
| TECHNIQUES MITRE ATT&CK : | T1568 - Résolution dynamique |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Téléchargements excessifs via Palo Alto GlobalProtect
Description: Cet algorithme détecte un volume de téléchargement inhabituellement élevé par compte d’utilisateur via la solution VPN Palo Alto. Le modèle est entraîné sur les 14 jours précédents des journaux VPN. Il indique un volume anormalement élevé de téléchargements au cours de la dernière journée.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | CommonSecurityLog (VPN PAN) |
| MITRE ATT&tactiques CK : | Exfiltration |
| TECHNIQUES MITRE ATT&CK : | T1030 - Limites de taille de transfert de données T1041 - Exfiltration sur le canal C2 T1011 - Exfiltration sur un autre réseau moyen T1567 - Exfiltration sur le service web T1029 - Transfert planifié T1537 - Transférer des données vers un compte cloud |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Chargements excessifs via Palo Alto GlobalProtect
Description: Cet algorithme détecte un volume de chargement inhabituellement élevé par compte d’utilisateur via la solution VPN Palo Alto. Le modèle est entraîné sur les 14 jours précédents des journaux VPN. Il indique un volume anormalement élevé de chargement au cours de la dernière journée.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | CommonSecurityLog (VPN PAN) |
| MITRE ATT&tactiques CK : | Exfiltration |
| TECHNIQUES MITRE ATT&CK : | T1030 - Limites de taille de transfert de données T1041 - Exfiltration sur le canal C2 T1011 - Exfiltration sur un autre réseau moyen T1567 - Exfiltration sur le service web T1029 - Transfert planifié T1537 - Transférer des données vers un compte cloud |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Algorithme de génération de domaine potentiel (DGA) sur les domaines DNS de niveau supérieur
Description: Ce modèle Machine Learning indique les domaines de niveau suivant (troisième niveau et supérieur) des noms de domaine du dernier jour des journaux DNS qui sont inhabituels. Ils peuvent potentiellement être la sortie d’un algorithme de génération de domaine (DGA). L’anomalie s’applique aux enregistrements DNS qui sont résolus en adresses IPv4 et IPv6.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Événements DNS |
| MITRE ATT&tactiques CK : | Commande et contrôle |
| TECHNIQUES MITRE ATT&CK : | T1568 - Résolution dynamique |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Volume suspect d’appels d’API AWS à partir d’une adresse IP source non AWS
Description: Cet algorithme détecte un volume inhabituellement élevé d’appels d’API AWS par compte d’utilisateur et par espace de travail, à partir d’adresses IP sources en dehors des plages d’adresses IP sources d’AWS, au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents des événements de journal AWS CloudTrail par adresse IP source. Cette activité peut indiquer que le compte d’utilisateur est compromis.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux AWS CloudTrail |
| MITRE ATT&tactiques CK : | Accès initial |
| TECHNIQUES MITRE ATT&CK : | T1078 - Comptes valides |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Volume suspect d’appels d’API d’écriture AWS à partir d’un compte d’utilisateur
Description: Cet algorithme détecte un volume inhabituellement élevé d’appels d’API d’écriture AWS par compte d’utilisateur au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents des événements de journal AWS CloudTrail par compte d’utilisateur. Cette activité peut indiquer que le compte est compromis.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | Journaux AWS CloudTrail |
| MITRE ATT&tactiques CK : | Accès initial |
| TECHNIQUES MITRE ATT&CK : | T1078 - Comptes valides |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Volume suspect de connexions à l’ordinateur
Description: Cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) par ordinateur au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents de Sécurité Windows journaux des événements.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | journaux Sécurité Windows |
| MITRE ATT&tactiques CK : | Accès initial |
| TECHNIQUES MITRE ATT&CK : | T1078 - Comptes valides |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Volume suspect de connexions à l’ordinateur avec jeton élevé
Description: Cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) avec des privilèges d’administration, par ordinateur, au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents de Sécurité Windows journaux des événements.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | journaux Sécurité Windows |
| MITRE ATT&tactiques CK : | Accès initial |
| TECHNIQUES MITRE ATT&CK : | T1078 - Comptes valides |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Volume suspect de connexions au compte d’utilisateur
Description: Cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) par compte d’utilisateur au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents de Sécurité Windows journaux des événements.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | journaux Sécurité Windows |
| MITRE ATT&tactiques CK : | Accès initial |
| TECHNIQUES MITRE ATT&CK : | T1078 - Comptes valides |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Volume suspect de connexions au compte d’utilisateur par type d’ouverture de session
Description: Cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) par compte d’utilisateur, par différents types d’ouverture de session, au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents de Sécurité Windows journaux des événements.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | journaux Sécurité Windows |
| MITRE ATT&tactiques CK : | Accès initial |
| TECHNIQUES MITRE ATT&CK : | T1078 - Comptes valides |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Volume suspect de connexions au compte d’utilisateur avec jeton élevé
Description: Cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) avec des privilèges d’administration, par compte d’utilisateur, au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents de Sécurité Windows journaux des événements.
| Attribut | Valeur |
|---|---|
| Type d’anomalie : | Machine Learning personnalisable |
| Sources de données : | journaux Sécurité Windows |
| MITRE ATT&tactiques CK : | Accès initial |
| TECHNIQUES MITRE ATT&CK : | T1078 - Comptes valides |
Revenir à la liste des anomalies basées sur le Machine Learning | Retour en haut de la page
Étapes suivantes
- Découvrez les anomalies générées par le Machine Learning dans Microsoft Sentinel.
- Découvrez comment utiliser des règles d’anomalie.
- Examinez les incidents avec Microsoft Sentinel.