Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Microsoft Sentinel oppdager avvik ved å analysere virkemåten til brukere i et miljø over en tidsperiode og konstruere en grunnlinje for legitim aktivitet. Når grunnlinjen er opprettet, anses enhver aktivitet utenfor de normale parameterne som uregelmessige og derfor mistenkelige.
Microsoft Sentinel bruker to modeller til å opprette opprinnelige planer og oppdage avvik.
Denne artikkelen viser avvikene som Microsoft Sentinel oppdager ved hjelp av ulike maskinlæringsmodeller.
I avvikstabellen :
- Kolonnen
rulenameangir regelen Sentinel som brukes til å identifisere hvert avvik. - Kolonnen
scoreinneholder en numerisk verdi mellom 0 og 1, som kvantifiserer avviksgraden fra den forventede virkemåten. Høyere poengsummer indikerer større avvik fra grunnlinjen og er mer sannsynlig å være sanne avvik. Lavere poengsummer kan fortsatt være uregelmessige, men er mindre sannsynlig å være betydelige eller gjennomførbare.
Obs!
Disse avviksregistreringene avvikles fra og med 8. mars 2026, på grunn av lav resultatkvalitet:
- Domenegenereringsalgoritme (DGA) på DNS-domener
- Potensiell domenegenereringsalgoritme (DGA) på DNS-domener på neste nivå
Sammenlign UEBA- og maskinlæringsbaserte avvik
UEBA og maskinlæring (ML) -baserte avvik er komplementære tilnærminger til avviksregistrering. Begge fyller ut tabellen, Anomalies men tjener ulike formål:
| Aspekt | UEBA-avvik | ML avviksregistreringsregler |
|---|---|---|
| Fokus | Hvem oppfører seg uvanlig | Hvilken aktivitet som er uvanlig |
| Oppdagelsestilnærming | Enhetsfokuserte atferdsmessige grunnlinjer sammenlignet med historisk aktivitet, nodevirkemåte og organisasjonsomfattende mønstre | Regelmaler som kan tilpasses ved hjelp av statistiske modeller og ML-modeller som er opplært på bestemte datamønstre |
| Opprinnelig kilde | Hver enhets egen logg, nodegruppe og organisasjon | Opplæringsperiode (vanligvis 7–21 dager) på bestemte hendelsestyper |
| Tilpasning | Aktivert/deaktivert ved hjelp av UEBA-innstillinger | Tunable thresholds and parameters using the analytics rule UI |
| Eksempler | Avvikende pålogging, avvikende kontoopprettelse, avvikende endring av privilegier | Forsøkt rå kraft, store nedlastinger, nettverkssignalering |
Hvis du vil ha mer informasjon, kan du se:
UEBA-avvik
Sentinel UEBA oppdager avvik basert på dynamiske opprinnelige planer som er opprettet for hver enhet på tvers av ulike datainndata. Hver enhets opprinnelige virkemåte angis i henhold til sine egne historiske aktiviteter, de av sine kolleger og organisasjonens som helhet. Avvik kan utløses av korrelasjonen mellom ulike attributter, for eksempel handlingstype, geografisk plassering, enhet, ressurs, INTERNETT-adresse og mer.
Du må aktivere UEBA og avviksregistrering i Sentinel arbeidsområdet for å oppdage UEBA-avvik.
UEBA oppdager avvik basert på disse avviksreglene:
- Fjerning av UEBA-avvikende kontotilgang
- Opprettelse av UEBA-avvikskonto
- Sletting av UEBA-uregelmessig konto
- UEBA-uregelmessig kontomanipulering
- UEBA-avviksaktivitet i GCP-overvåkingslogger
- UEBA-avviksaktivitet i Okta_CL
- UEBA-uregelmessig godkjenning
- UEBA-uregelmessig kjøring av kode
- UEBA avvikende dataødeleggelse
- UEBA uregelmessig dataoverføring fra Amazon S3
- UEBA uregelmessig defensiv mekanisme modifikasjon
- UEBA uregelmessig mislykket pålogging
- UEBA uregelmessig organisasjonsbasert eller SAML-identitetsaktivitet i AwsCloudTrail
- UEBA Uregelmessig IAM Privilege Modifikasjon i AwsCloudTrail
- UEBA uregelmessig pålogging i AwsCloudTrail
- UEBA uregelmessige MFA-feil i Okta_CL
- UEBA uregelmessig tilbakestilling av passord
- UEBA-avviksrettighet gitt
- UEBA uregelmessig hemmelig eller KMS nøkkeltilgang i AwsCloudTrail
- UEBA uregelmessig pålogging
- UEBA avvikende STS AssumeRole Virkemåte i AwsCloudTrail
Sentinel bruker berikede data fra BehaviorAnalytics-tabellen til å identifisere UEBA-avvik med en konfidenspoengsum som er spesifikk for leieren og kilden.
Fjerning av UEBA-avvikende kontotilgang
Beskrivelse: En angriper kan avbryte tilgjengeligheten av system- og nettverksressurser ved å blokkere tilgang til kontoer som brukes av legitime brukere. Angriperen kan slette, låse eller manipulere en konto (for eksempel ved å endre legitimasjonen) for å fjerne tilgang til den.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | Azure aktivitetslogger |
| MITRE ATT&CK taktikk: | Innvirkning |
| MITRE ATT&CK teknikker: | T1531 – Fjerning av kontotilgang |
| Aktivitet: | Microsoft.Authorization/roleAssignments/delete Logg av |
Tilbake til UEBA-avviksliste | Tilbake til toppen
Opprettelse av UEBA-avvikskonto
Beskrivelse: Motstandere kan opprette en konto for å opprettholde tilgang til målrettede systemer. Med tilstrekkelig tilgangsnivå kan oppretting av slike kontoer brukes til å etablere sekundær legitimasjonstilgang uten at vedvarende verktøy for ekstern tilgang må distribueres på systemet.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | Microsoft Entra overvåkingslogger |
| MITRE ATT&CK taktikk: | Utholdenhet |
| MITRE ATT&CK teknikker: | T1136 – Opprett konto |
| MITRE ATT&CK-underteknikker: | Skykonto |
| Aktivitet: | Core Directory/UserManagement/Legg til bruker |
Tilbake til UEBA-avviksliste | Tilbake til toppen
Sletting av UEBA-uregelmessig konto
Beskrivelse: Motstandere kan avbryte tilgjengeligheten av system- og nettverksressurser ved å hemme tilgangen til kontoer som brukes av legitime brukere. Kontoer kan slettes, låses eller manipuleres (f.eks. endret legitimasjon) for å fjerne tilgang til kontoer.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | Microsoft Entra overvåkingslogger |
| MITRE ATT&CK taktikk: | Innvirkning |
| MITRE ATT&CK teknikker: | T1531 – Fjerning av kontotilgang |
| Aktivitet: | Core Directory/UserManagement/Delete-bruker Kjernekatalog/enhet/slettingsbruker Core Directory/UserManagement/Delete-bruker |
Tilbake til UEBA-avviksliste | Tilbake til toppen
UEBA-uregelmessig kontomanipulering
Beskrivelse: Motstandere kan manipulere kontoer for å opprettholde tilgang til målsystemer. Disse handlingene omfatter å legge til nye kontoer i grupper med høye rettigheter. Dragonfly 2.0 la for eksempel til nyopprettede kontoer i administratorgruppen for å opprettholde forhøyet tilgang. Spørringen nedenfor genererer utdata fra alle brukere med høy eksplosjonsradius som utfører «Oppdater bruker» (navneendring) til privilegert rolle, eller de som endret brukere for første gang.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | Microsoft Entra overvåkingslogger |
| MITRE ATT&CK taktikk: | Utholdenhet |
| MITRE ATT&CK teknikker: | T1098 – kontomanipulering |
| Aktivitet: | Core Directory/UserManagement/Update-bruker |
Tilbake til UEBA-avviksliste | Tilbake til toppen
UEBA-avviksaktivitet i GCP-overvåkingslogger
Beskrivelse: Mislykkede tilgangsforsøk til Google Cloud Platform (GCP)-ressurser basert på IAM-relaterte oppføringer i GCP-overvåkingslogger. Disse feilene kan gjenspeile feilkonfigurerte tillatelser, forsøk på å få tilgang til uautoriserte tjenester eller angriperatferd i tidlig fase, for eksempel rettighetsgranskning eller utholdenhet gjennom tjenestekontoer.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | GCP-overvåkingslogger |
| MITRE ATT&CK taktikk: | Oppdagelsen |
| MITRE ATT&CK teknikker: | T1087 – Kontooppdagelse, T1069 – Søke etter tillatelsesgrupper |
| Aktivitet: | iam.googleapis.com |
Tilbake til UEBA-avviksliste | Tilbake til toppen
UEBA-avviksaktivitet i Okta_CL
Beskrivelse: Uventet godkjenningsaktivitet eller sikkerhetsrelaterte konfigurasjonsendringer i Okta, inkludert endringer i påloggingsregler, håndhevelse av flerfaktorgodkjenning (MFA) eller administrative rettigheter. Slik aktivitet kan indikere forsøk på å endre sikkerhetskontroller for identitet eller opprettholde tilgang gjennom privilegerte endringer.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | Okta-skylogger |
| MITRE ATT&CK taktikk: | Vedvarende, privilegiskalering |
| MITRE ATT&CK teknikker: | T1098 – Kontomanipulering, T1556 – Endre godkjenningsprosess |
| Aktivitet: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Tilbake til UEBA-avviksliste | Tilbake til toppen
UEBA-uregelmessig godkjenning
Beskrivelse: Uvanlig godkjenningsaktivitet på tvers av signaler fra Microsoft Defender for endepunkt og Microsoft Entra ID, inkludert enhetspålogginger, pålogginger for administrert identitet og godkjenning av tjenestekontohaver fra Microsoft Entra ID. Disse avvikene kan tyde på legitimasjonsmisbruk, ikke-menneskelig identitetsmisbruk eller laterale bevegelsesforsøk utenfor typiske tilgangsmønstre.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | Microsoft Defender for endepunkt, Microsoft Entra ID |
| MITRE ATT&CK taktikk: | Første tilgang |
| MITRE ATT&CK teknikker: | T1078 – gyldige kontoer |
| Aktivitet: |
Tilbake til UEBA-avviksliste | Tilbake til toppen
UEBA-uregelmessig kjøring av kode
Beskrivelse: Motstandere kan misbruke kommando- og skripttolkere til å utføre kommandoer, skript eller binærfiler. Disse grensesnittene og språkene gir måter å samhandle med datasystemer på, og er en vanlig funksjon på tvers av mange forskjellige plattformer.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | Azure aktivitetslogger |
| MITRE ATT&CK taktikk: | Utførelse |
| MITRE ATT&CK teknikker: | T1059 – kommando- og skripttolk |
| MITRE ATT&CK-underteknikker: | PowerShell |
| Aktivitet: | Microsoft.Compute/virtualMachines/runCommand/action |
Tilbake til UEBA-avviksliste | Tilbake til toppen
UEBA avvikende dataødeleggelse
Beskrivelse: Motstandere kan ødelegge data og filer på bestemte systemer eller i stort antall på et nettverk for å avbryte tilgjengeligheten til systemer, tjenester og nettverksressurser. Dataødeleggelse vil sannsynligvis gjøre lagrede data uopprettelige ved rettsmedisinske teknikker ved å overskrive filer eller data på lokale og eksterne stasjoner.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | Azure aktivitetslogger |
| MITRE ATT&CK taktikk: | Innvirkning |
| MITRE ATT&CK teknikker: | T1485 – dataødeleggelse |
| Aktivitet: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Tilbake til UEBA-avviksliste | Tilbake til toppen
UEBA uregelmessig dataoverføring fra Amazon S3
Beskrivelse: Avvik i datatilgang eller nedlastingsmønstre fra Amazon Simple Storage Service (S3). Avviket bestemmes ved hjelp av atferdsmessige grunnlinjer for hver bruker, tjeneste og ressurs, og sammenligner dataoverføringsvolum, frekvens og tilgang til objektantall mot historiske normer. Betydelige avvik , for eksempel førstegangs massetilgang, uvanlig store datahentinger eller aktivitet fra nye steder eller programmer - kan indikere potensiell datautslettelse, brudd på retningslinjene eller misbruk av kompromittert legitimasjon.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | AWS CloudTrail-logger |
| MITRE ATT&CK taktikk: | Eksfiltrering |
| MITRE ATT&CK teknikker: | T1567 – exfiltration over webtjeneste |
| Aktivitet: | PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload |
Tilbake til UEBA-avviksliste | Tilbake til toppen
UEBA uregelmessig defensiv mekanisme modifikasjon
Beskrivelse: Motstandere kan deaktivere sikkerhetsverktøy for å unngå mulig gjenkjenning av deres verktøy og aktiviteter.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | Azure aktivitetslogger |
| MITRE ATT&CK taktikk: | Forsvarsunndragelse |
| MITRE ATT&CK teknikker: | T1562 - Svekke forsvar |
| MITRE ATT&CK-underteknikker: | Deaktiver eller endre verktøy Deaktiver eller endre skybrannmur |
| Aktivitet: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Tilbake til UEBA-avviksliste | Tilbake til toppen
UEBA uregelmessig mislykket pålogging
Beskrivelse: Motstandere uten forkunnskaper om legitim legitimasjon i systemet eller miljøet kan gjette passord for å forsøke tilgang til kontoer.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | Microsoft Entra påloggingslogger Windows Sikkerhet logger |
| MITRE ATT&CK taktikk: | Legitimasjonstilgang |
| MITRE ATT&CK teknikker: | T1110 - Rå kraft |
| Aktivitet: |
Microsoft Entra ID: Påloggingsaktivitet Windows Sikkerhet: Mislykket pålogging (hendelses-ID 4625) |
Tilbake til UEBA-avviksliste | Tilbake til toppen
UEBA uregelmessig organisasjonsbasert eller SAML-identitetsaktivitet i AwsCloudTrail
Beskrivelse: Uvanlig aktivitet av saML-baserte identiteter (Security Assertion Markup Language) som involverer førstegangshandlinger, ukjente geografiske plasseringer eller overflødige API-kall. Slike avvik kan indikere øktkapring eller misbruk av organisasjonsbasert legitimasjon.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | AWS CloudTrail-logger |
| MITRE ATT&CK taktikk: | Første tilgang, vedvarende |
| MITRE ATT&CK teknikker: | T1078 – gyldige kontoer, T1550 – bruk alternativt godkjenningsmateriale |
| Aktivitet: | UserAuthentication (EXTERNAL_IDP) |
Tilbake til UEBA-avviksliste | Tilbake til toppen
UEBA Uregelmessig IAM Privilege Modifikasjon i AwsCloudTrail
Beskrivelse: Avvik i administrativ virkemåte for identitets- og tilgangsbehandling (IAM), for eksempel førstegangsoppretting, endring eller sletting av roller, brukere og grupper, eller vedlegg av nye innebygde eller administrerte policyer. Disse kan indikere videresending av rettigheter eller policymisbruk.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | AWS CloudTrail-logger |
| MITRE ATT&CK taktikk: | Videresending av rettigheter, vedvarende |
| MITRE ATT&CK teknikker: | T1136 – Opprett konto, T1098 – kontomanipulering |
| Aktivitet: | Opprette, legge til, legge ved, slette, deaktivere, plassere og oppdatere operasjoner på iam.amazonaws.com, sso-directory.amazonaws.com |
Tilbake til UEBA-avviksliste | Tilbake til toppen
UEBA uregelmessig pålogging i AwsCloudTrail
Beskrivelse: Uvanlig påloggingsaktivitet i Amazon Web Services (AWS)-tjenester basert på CloudTrail-hendelser som ConsoleLogin og andre godkjenningsrelaterte attributter. Avvik bestemmes av avvik i brukeratferd basert på attributter som geolokasjon, enhetsavtrykk, ISP og tilgangsmetode, og kan indikere uautoriserte tilgangsforsøk eller potensielle brudd på policyen.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | AWS CloudTrail-logger |
| MITRE ATT&CK taktikk: | Første tilgang |
| MITRE ATT&CK teknikker: | T1078 – gyldige kontoer |
| Aktivitet: | ConsoleLogin |
Tilbake til UEBA-avviksliste | Tilbake til toppen
UEBA uregelmessige MFA-feil i Okta_CL
Beskrivelse: Uvanlige mønstre for mislykkede MFA-forsøk i Okta. Disse avvikene kan skyldes kontomisbruk, legitimasjonsfylling eller feilaktig bruk av klarerte enhetsmekanismer, og gjenspeiler ofte tidlig motstanderatferd, for eksempel testing av stjålet legitimasjon eller undersøkelse av identitetssikringer.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | Okta-skylogger |
| MITRE ATT&CK taktikk: | Vedvarende, privilegiskalering |
| MITRE ATT&CK teknikker: | T1078 – gyldige kontoer, T1556 – endre godkjenningsprosess |
| Aktivitet: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Tilbake til UEBA-avviksliste | Tilbake til toppen
UEBA uregelmessig tilbakestilling av passord
Beskrivelse: Motstandere kan avbryte tilgjengeligheten av system- og nettverksressurser ved å hemme tilgangen til kontoer som brukes av legitime brukere. Kontoer kan slettes, låses eller manipuleres (f.eks. endret legitimasjon) for å fjerne tilgang til kontoer.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | Microsoft Entra overvåkingslogger |
| MITRE ATT&CK taktikk: | Innvirkning |
| MITRE ATT&CK teknikker: | T1531 – Fjerning av kontotilgang |
| Aktivitet: | Core Directory/UserManagement/Tilbakestilling av brukerpassord |
Tilbake til UEBA-avviksliste | Tilbake til toppen
UEBA-avviksrettighet gitt
Beskrivelse: Motstandere kan legge til motstanderkontrollert legitimasjon for Azure tjenestekontohavere i tillegg til eksisterende legitime legitimasjoner for å opprettholde vedvarende tilgang til offerkontoer Azure.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | Microsoft Entra overvåkingslogger |
| MITRE ATT&CK taktikk: | Utholdenhet |
| MITRE ATT&CK teknikker: | T1098 – kontomanipulering |
| MITRE ATT&CK-underteknikker: | Ekstra Azure legitimasjon for tjenestekontohaver |
| Aktivitet: | Kontoklargjøring/Programbehandling/Legg til approlletilordning i tjenestekontohaver |
Tilbake til UEBA-avviksliste | Tilbake til toppen
UEBA uregelmessig hemmelig eller KMS nøkkeltilgang i AwsCloudTrail
Beskrivelse: Mistenkelig tilgang til AWS Secrets Manager- eller Key Management Service (KMS)-ressurser. Førstegangstilgang eller uvanlig høy tilgangsfrekvens kan indikere innhøsting av legitimasjon eller forsøk på dataeksfiltrering.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | AWS CloudTrail-logger |
| MITRE ATT&CK taktikk: | Legitimasjonstilgang, samling |
| MITRE ATT&CK teknikker: | T1555 – legitimasjon fra passordlagre |
| Aktivitet: | GetSecretValue BatchGetSecretValue ListKeys ListSecrets PutSecretValue CreateSecret UpdateSecret DeleteSecret CreateKey PutKeyPolicy |
Tilbake til UEBA-avviksliste | Tilbake til toppen
UEBA uregelmessig pålogging
Beskrivelse: Motstandere kan stjele legitimasjonen til en bestemt bruker eller tjenestekonto ved hjelp av legitimasjonstilgangsteknikker eller registrere legitimasjon tidligere i rekognoseringsprosessen gjennom sosial teknikk for å oppnå utholdenhet.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | Microsoft Entra påloggingslogger Windows Sikkerhet logger |
| MITRE ATT&CK taktikk: | Utholdenhet |
| MITRE ATT&CK teknikker: | T1078 – gyldige kontoer |
| Aktivitet: |
Microsoft Entra ID: Påloggingsaktivitet Windows Sikkerhet: Vellykket pålogging (hendelses-ID 4624) |
Tilbake til UEBA-avviksliste | Tilbake til toppen
UEBA avvikende STS AssumeRole Virkemåte i AwsCloudTrail
Beskrivelse: Uregelmessig bruk av AWS Security Token Service (STS) AssumeRole-handlinger, spesielt med privilegerte roller eller tilgang på tvers av kontoer. Avvik fra vanlig bruk kan indikere rettighetsoppskalering eller identitetskompromisse.
| Attributt | Verdi |
|---|---|
| Avvikstype: | UEBA |
| Datakilder: | AWS CloudTrail-logger |
| MITRE ATT&CK taktikk: | Rettighetsopptrapping, forsvarsunndragelse |
| MITRE ATT&CK teknikker: | T1548 – mekanisme for hevingskontroll av misbruk, T1078 – gyldige kontoer |
| Aktivitet: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity AssumeRoot |
Tilbake til UEBA-avviksliste | Tilbake til toppen
Maskinlæringsbaserte avvik
Microsoft Sentinel kan tilpasses, kan maskinlæringsbaserte avvik identifisere uregelmessig virkemåte med analyseregelmaler som kan settes til å fungere rett ut av esken. Selv om avvik ikke nødvendigvis indikerer ondsinnet eller mistenkelig oppførsel av seg selv, kan de brukes til å forbedre oppdagelser, undersøkelser og trusseljakt.
- Uregelmessige Azure operasjoner
- Uregelmessig kjøring av kode
- Avvikende oppretting av lokal konto
- Uregelmessige brukeraktiviteter i Office Exchange
- Forsøkt datarutekraft
- Forsøkte brute-kraft for brukerkonto
- Forsøkt bruk av rå kraft for brukerkonto per påloggingstype
- Forsøkt bruk av rå kraft for brukerkonto per feilårsak
- Oppdag maskingenerert virkemåte for nettverkssignalering
- Domenegenereringsalgoritme (DGA) på DNS-domener
- Overdreven nedlastinger via Palo Alto GlobalProtect
- Overflødige opplastinger via Palo Alto GlobalProtect
- Potensiell domenegenereringsalgoritme (DGA) på DNS-domener på neste nivå
- Mistenkelig volum av AWS API-kall fra ikke-AWS kilde IP-adresse
- Mistenkelig volum av AWS skrive API-kall fra en brukerkonto
- Mistenkelig volum av pålogginger til datamaskinen
- Mistenkelig volum av pålogginger til datamaskinen med forhøyet token
- Mistenkelig volum av pålogginger til brukerkonto
- Mistenkelig volum av pålogginger til brukerkonto etter påloggingstyper
- Mistenkelig volum av pålogginger til brukerkonto med forhøyet token
Uregelmessige Azure operasjoner
Beskrivelse: Denne gjenkjenningsalgoritmen samler inn 21 dagers data om Azure operasjoner gruppert etter bruker for å lære opp denne ML-modellen. Algoritmen genererer deretter avvik når det gjelder brukere som utførte sekvenser av operasjoner som er uvanlige i arbeidsområdene. Den kalibrerte ML-modellen scorer operasjonene som utføres av brukeren, og vurderer uregelmessige de som har en poengsum som er større enn den definerte terskelen.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | Azure aktivitetslogger |
| MITRE ATT&CK taktikk: | Første tilgang |
| MITRE ATT&CK teknikker: | T1190 – Utnytte Public-Facing program |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Uregelmessig kjøring av kode
Beskrivelse: Angripere kan misbruke kommando- og skripttolkere til å utføre kommandoer, skript eller binærfiler. Disse grensesnittene og språkene gir måter å samhandle med datasystemer på, og er en vanlig funksjon på tvers av mange forskjellige plattformer.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | Azure aktivitetslogger |
| MITRE ATT&CK taktikk: | Utførelse |
| MITRE ATT&CK teknikker: | T1059 – kommando- og skripttolk |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Avvikende oppretting av lokal konto
Beskrivelse: Denne algoritmen oppdager uregelmessig lokal kontooppretting på Windows-systemer. Angripere kan opprette lokale kontoer for å opprettholde tilgang til målrettede systemer. Denne algoritmen analyserer lokal kontoopprettingsaktivitet i løpet av de foregående 14 dagene av brukere. Det ser etter lignende aktivitet på gjeldende dag fra brukere som ikke tidligere ble sett i historisk aktivitet. Du kan angi en tillatelsesliste for å filtrere kjente brukere fra å utløse dette avviket.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | Windows Sikkerhet logger |
| MITRE ATT&CK taktikk: | Utholdenhet |
| MITRE ATT&CK teknikker: | T1136 – Opprett konto |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Uregelmessige brukeraktiviteter i Office Exchange
Beskrivelse: Denne maskinlæringsmodellen grupperer Office Exchange-loggene per bruker i timesamlinger. Vi definerer én time som en økt. Modellen er kalibrert på de foregående sju dagene med virkemåte på tvers av alle vanlige (ikke-administrator) brukere. Den angir uregelmessige Office Exchange-økter for brukeren den siste dagen.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | Office-aktivitetslogg (Exchange) |
| MITRE ATT&CK taktikk: | Utholdenhet Samling |
| MITRE ATT&CK teknikker: |
Samling: T1114 – e-postsamling T1213 – data fra informasjonsrepositorier Utholdenhet: T1098 – kontomanipulering T1136 – Opprett konto T1137 – oppstart av Office-program T1505 – serverprogramvarekomponent |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Forsøkt datarutekraft
Beskrivelse: Denne algoritmen oppdager et uvanlig høyt volum mislykkede påloggingsforsøk (sikkerhetshendelses-ID 4625) per datamaskin i løpet av den siste dagen. Modellen er opplært i de foregående 21 dagene av Windows-sikkerhetshendelseslogger.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | Windows Sikkerhet logger |
| MITRE ATT&CK taktikk: | Legitimasjonstilgang |
| MITRE ATT&CK teknikker: | T1110 - Rå kraft |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Forsøkte brute-kraft for brukerkonto
Beskrivelse: Denne algoritmen oppdager et uvanlig høyt volum mislykkede påloggingsforsøk (sikkerhetshendelses-ID 4625) per brukerkonto i løpet av den siste dagen. Modellen er opplært i de foregående 21 dagene av Windows-sikkerhetshendelseslogger.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | Windows Sikkerhet logger |
| MITRE ATT&CK taktikk: | Legitimasjonstilgang |
| MITRE ATT&CK teknikker: | T1110 - Rå kraft |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Forsøkt bruk av rå kraft for brukerkonto per påloggingstype
Beskrivelse: Denne algoritmen oppdager et uvanlig høyt antall mislykkede påloggingsforsøk (sikkerhetshendelses-ID 4625) per brukerkonto per påloggingstype i løpet av den siste dagen. Modellen er opplært i de foregående 21 dagene av Windows-sikkerhetshendelseslogger.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | Windows Sikkerhet logger |
| MITRE ATT&CK taktikk: | Legitimasjonstilgang |
| MITRE ATT&CK teknikker: | T1110 - Rå kraft |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Forsøkt bruk av rå kraft for brukerkonto per feilårsak
Beskrivelse: Denne algoritmen oppdager et uvanlig høyt volum mislykkede påloggingsforsøk (sikkerhetshendelses-ID 4625) per brukerkonto per feilårsak den siste dagen. Modellen er opplært i de foregående 21 dagene av Windows-sikkerhetshendelseslogger.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | Windows Sikkerhet logger |
| MITRE ATT&CK taktikk: | Legitimasjonstilgang |
| MITRE ATT&CK teknikker: | T1110 - Rå kraft |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Oppdag maskingenerert virkemåte for nettverkssignalering
Beskrivelse: Denne algoritmen identifiserer signalmønstre fra nettverkstrafikktilkoblingslogger basert på gjentakende tidsdeltamønstre. Alle nettverkstilkoblinger mot ikke-klarerte offentlige nettverk ved gjentakende tidsdeltaer er en indikasjon på tilbakeringinger av skadelig programvare eller dataeksfiltreringsforsøk. Algoritmen beregner tidsdeltaet mellom påfølgende nettverkstilkoblinger mellom samme kilde-IP og mål-IP, samt antall tilkoblinger i en tidsdeltasekvens mellom de samme kildene og målene. Prosentandelen av beaconing beregnes som tilkoblinger i tidsdeltasekvensen mot totale tilkoblinger på en dag.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | CommonSecurityLog (PAN) |
| MITRE ATT&CK taktikk: | Kommando og kontroll |
| MITRE ATT&CK teknikker: | T1071 – Application Layer Protocol T1132 – datakoding T1001 – Dataobfuscation T1568 – dynamisk oppløsning T1573 – kryptert kanal T1008 – Tilbakefallskanaler T1104 – flertrinnskanaler T1095 – lagprotokoll som ikke er i bruk T1571 - ikke-Standard port T1572 - Protokolltunnelering T1090 – proxy T1205 – trafikksignalering T1102 – nettjeneste |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Domenegenereringsalgoritme (DGA) på DNS-domener
Beskrivelse: Denne maskinlæringsmodellen indikerer potensielle DGA-domener fra den siste dagen i DNS-loggene. Algoritmen gjelder for DNS-poster som løses på IPv4- og IPv6-adresser.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | DNS-hendelser |
| MITRE ATT&CK taktikk: | Kommando og kontroll |
| MITRE ATT&CK teknikker: | T1568 – dynamisk oppløsning |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Overdreven nedlastinger via Palo Alto GlobalProtect
Beskrivelse: Denne algoritmen oppdager uvanlig høyt volum nedlasting per brukerkonto gjennom Palo Alto VPN-løsningen. Modellen er opplært i de foregående 14 dagene av VPN-loggene. Det indikerer uregelmessig høyt volum av nedlastinger den siste dagen.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK taktikk: | Eksfiltrering |
| MITRE ATT&CK teknikker: | T1030 – størrelsesgrenser for dataoverføring T1041 – exfiltration over C2-kanal T1011 – exfiltration over annet nettverksmedium T1567 – exfiltration over webtjeneste T1029 – planlagt overføring T1537 – Overføre data til skykonto |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Overflødige opplastinger via Palo Alto GlobalProtect
Beskrivelse: Denne algoritmen oppdager uvanlig høyt volum opplasting per brukerkonto gjennom Palo Alto VPN-løsningen. Modellen er opplært i de foregående 14 dagene av VPN-loggene. Den angir uregelmessig høyt opplastingsvolum den siste dagen.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK taktikk: | Eksfiltrering |
| MITRE ATT&CK teknikker: | T1030 – størrelsesgrenser for dataoverføring T1041 – exfiltration over C2-kanal T1011 – exfiltration over annet nettverksmedium T1567 – exfiltration over webtjeneste T1029 – planlagt overføring T1537 – Overføre data til skykonto |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Potensiell domenegenereringsalgoritme (DGA) på DNS-domener på neste nivå
Beskrivelse: Denne maskinlæringsmodellen angir domenene på neste nivå (tredje nivå og oppover) av domenenavnene fra den siste dagen i DNS-logger som er uvanlige. De kan potensielt være utdataene til en domenegenereringsalgoritme (DGA). Avviket gjelder dns-postene som løses til IPv4- og IPv6-adresser.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | DNS-hendelser |
| MITRE ATT&CK taktikk: | Kommando og kontroll |
| MITRE ATT&CK teknikker: | T1568 – dynamisk oppløsning |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Mistenkelig volum av AWS API-kall fra ikke-AWS kilde IP-adresse
Beskrivelse: Denne algoritmen oppdager et uvanlig høyt volum av AWS API-kall per brukerkonto per arbeidsområde, fra kilde-IP-adresser utenfor AWS's kilde-IP-områder, i løpet av den siste dagen. Modellen er opplært på de foregående 21 dagene av AWS CloudTrail-logghendelser etter kilde-IP-adresse. Denne aktiviteten kan indikere at brukerkontoen er kompromittert.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | AWS CloudTrail-logger |
| MITRE ATT&CK taktikk: | Første tilgang |
| MITRE ATT&CK teknikker: | T1078 – gyldige kontoer |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Mistenkelig volum av AWS skrive API-kall fra en brukerkonto
Beskrivelse: Denne algoritmen oppdager et uvanlig høyt volum av AWS-skrive-API-kall per brukerkonto i løpet av den siste dagen. Modellen er opplært på de foregående 21 dagene av AWS CloudTrail logghendelser etter brukerkonto. Denne aktiviteten kan indikere at kontoen er kompromittert.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | AWS CloudTrail-logger |
| MITRE ATT&CK taktikk: | Første tilgang |
| MITRE ATT&CK teknikker: | T1078 – gyldige kontoer |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Mistenkelig volum av pålogginger til datamaskinen
Beskrivelse: Denne algoritmen oppdager et uvanlig høyt volum av vellykkede pålogginger (sikkerhetshendelses-ID 4624) per datamaskin i løpet av den siste dagen. Modellen er opplært i de foregående 21 dagene av Windows Sikkerhet hendelseslogger.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | Windows Sikkerhet logger |
| MITRE ATT&CK taktikk: | Første tilgang |
| MITRE ATT&CK teknikker: | T1078 – gyldige kontoer |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Mistenkelig volum av pålogginger til datamaskinen med forhøyet token
Beskrivelse: Denne algoritmen oppdager et uvanlig høyt volum av vellykkede pålogginger (sikkerhetshendelses-ID 4624) med administrative rettigheter, per datamaskin, i løpet av den siste dagen. Modellen er opplært i de foregående 21 dagene av Windows Sikkerhet hendelseslogger.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | Windows Sikkerhet logger |
| MITRE ATT&CK taktikk: | Første tilgang |
| MITRE ATT&CK teknikker: | T1078 – gyldige kontoer |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Mistenkelig volum av pålogginger til brukerkonto
Beskrivelse: Denne algoritmen oppdager et uvanlig høyt volum av vellykkede pålogginger (sikkerhetshendelses-ID 4624) per brukerkonto i løpet av den siste dagen. Modellen er opplært i de foregående 21 dagene av Windows Sikkerhet hendelseslogger.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | Windows Sikkerhet logger |
| MITRE ATT&CK taktikk: | Første tilgang |
| MITRE ATT&CK teknikker: | T1078 – gyldige kontoer |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Mistenkelig volum av pålogginger til brukerkonto etter påloggingstyper
Beskrivelse: Denne algoritmen oppdager et uvanlig høyt volum av vellykkede pålogginger (sikkerhetshendelses-ID 4624) per brukerkonto, etter ulike påloggingstyper, i løpet av den siste dagen. Modellen er opplært i de foregående 21 dagene av Windows Sikkerhet hendelseslogger.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | Windows Sikkerhet logger |
| MITRE ATT&CK taktikk: | Første tilgang |
| MITRE ATT&CK teknikker: | T1078 – gyldige kontoer |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Mistenkelig volum av pålogginger til brukerkonto med forhøyet token
Beskrivelse: Denne algoritmen oppdager et uvanlig høyt volum av vellykkede pålogginger (sikkerhetshendelses-ID 4624) med administrative rettigheter, per brukerkonto, i løpet av den siste dagen. Modellen er opplært i de foregående 21 dagene av Windows Sikkerhet hendelseslogger.
| Attributt | Verdi |
|---|---|
| Avvikstype: | Maskinlæring som kan tilpasses |
| Datakilder: | Windows Sikkerhet logger |
| MITRE ATT&CK taktikk: | Første tilgang |
| MITRE ATT&CK teknikker: | T1078 – gyldige kontoer |
Tilbake til listen | over maskinlæringsbaserte avvikTilbake til toppen
Neste trinn
- Lær om maskinlæringsgenererte avvik i Microsoft Sentinel.
- Lær hvordan du arbeider med avviksregler.
- Undersøk hendelser med Microsoft Sentinel.