Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Sentinel detecteert afwijkingen door het gedrag van gebruikers in een omgeving gedurende een bepaalde periode te analyseren en een basislijn van legitieme activiteiten samen te stellen. Zodra de basislijn is vastgesteld, wordt elke activiteit buiten de normale parameters beschouwd als afwijkend en daarom verdacht.
Microsoft Sentinel gebruikt twee modellen om basislijnen te maken en afwijkingen te detecteren.
In dit artikel worden de afwijkingen vermeld die Microsoft Sentinel detecteert met behulp van verschillende machine learning-modellen.
In de tabel Afwijkingen :
- De
rulenamekolom geeft de regel aan die Sentinel gebruikt om elke anomalie te identificeren. - De
scorekolom bevat een numerieke waarde tussen 0 en 1, waarmee de mate van afwijking van het verwachte gedrag wordt gekwantificeerd. Hogere scores wijzen op een grotere afwijking van de basislijn en zijn waarschijnlijk waar afwijkingen. Lagere scores kunnen nog steeds afwijkend zijn, maar zijn minder waarschijnlijk significant of uitvoerbaar.
Opmerking
Deze anomaliedetecties worden vanaf 8 maart 2026 stopgezet vanwege een lage kwaliteit van de resultaten:
- Algoritme voor domeingeneratie (DGA) in DNS-domeinen
- Algoritme voor potentiële domeingeneratie (DGA) op dns-domeinen op het volgende niveau
Afwijkingen op basis van UEBA en machine learning vergelijken
Afwijkingen op basis van UEBA en machine learning (ML) zijn complementaire benaderingen voor anomaliedetectie. Beide vullen de Anomalies tabel in, maar hebben verschillende doeleinden:
| Aspect | UEBA-afwijkingen | ML-anomaliedetectieregels |
|---|---|---|
| Focus | Wie gedraagt zich ongewoon | Welke activiteit is ongebruikelijk |
| Detectiebenadering | Entiteitsgerichte gedragsbasislijnen vergeleken met historische activiteit, peergedrag en patronen in de hele organisatie | Aanpasbare regelsjablonen met behulp van statistische en ML-modellen die zijn getraind op specifieke gegevenspatronen |
| Basislijnbron | De eigen geschiedenis, peergroep en organisatie van elke entiteit | Trainingsperiode (meestal 7-21 dagen) voor specifieke gebeurtenistypen |
| Aanpassing | In-/uitgeschakeld met UEBA-instellingen | Drempelwaarden en parameters niet kunnen worden ingesteld met behulp van de gebruikersinterface van de analyseregel |
| Voorbeelden | Afwijkende aanmelding, afwijkende account maken, afwijkende bevoegdheden wijzigen | Poging tot brute force, overmatige downloads, netwerk beaconing |
Zie voor meer informatie:
UEBA-afwijkingen
Sentinel UEBA detecteert afwijkingen op basis van dynamische basislijnen die voor elke entiteit zijn gemaakt voor verschillende gegevensinvoer. Het basisgedrag van elke entiteit wordt ingesteld op basis van de eigen historische activiteiten, die van de peers en die van de organisatie als geheel. Afwijkingen kunnen worden geactiveerd door de correlatie van verschillende kenmerken, zoals actietype, geo-locatie, apparaat, resource, ISP en meer.
U moet UEBA- en anomaliedetectie inschakelen in uw Sentinel werkruimte om UEBA-afwijkingen te detecteren.
UEBA detecteert afwijkingen op basis van deze anomalieregels:
- UEBA Afwijkende accounttoegang verwijderen
- UEBA Anomalous account maken
- UEBA Afwijkende account verwijderen
- UEBA Anomalous Account Manipulatie
- Afwijkende UEBA-activiteit in GCP-auditlogboeken
- Afwijkende UEBA-activiteit in Okta_CL
- UEBA Anomalous Authentication
- Uitvoering van afwijkende UEBA-code
- UEBA Afwijkende gegevensvernietiging
- UEBA Anomalous Data Transfer from Amazon S3
- UEBA Afwijkende verdedigingsmechanisme aanpassing
- UEBA Anomalous Mislukte aanmelding
- UEBA Anomalous Federated of SAML Identity Activity in AwsCloudTrail
- Wijziging van UEBA-afwijkende IAM-bevoegdheden in AwsCloudTrail
- UEBA Anomalous Aanmelding in AwsCloudTrail
- UEBA anomalous MFA-fouten in Okta_CL
- UEBA Anlous wachtwoord opnieuw instellen
- Afwijkende UEBA-bevoegdheid verleend
- UEBA Anomalous Secret of KMS Key Access in AwsCloudTrail
- UEBA Anomalous Aanmelding
- UEBA Anomalous STS AssumeRole Behavior in AwsCloudTrail
Sentinel maakt gebruik van verrijkte gegevens uit de tabel BehaviorAnalytics om UEBA-afwijkingen te identificeren met een betrouwbaarheidsscore die specifiek is voor uw tenant en bron.
UEBA Afwijkende accounttoegang verwijderen
Beschrijving: Een aanvaller kan de beschikbaarheid van systeem- en netwerkbronnen onderbreken door de toegang tot accounts te blokkeren die door legitieme gebruikers worden gebruikt. De aanvaller kan een account verwijderen, vergrendelen of manipuleren (bijvoorbeeld door de referenties te wijzigen) om de toegang tot het account te verwijderen.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | activiteitenlogboeken Azure |
| MITRE ATT&CK-tactieken: | Impact |
| MITRE ATT&CK-technieken: | T1531 - Accounttoegang verwijderen |
| Activiteit: | Microsoft.Authorization/roleAssignments/delete Afmelden |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
UEBA Anomalous account maken
Beschrijving: Kwaadwillenden kunnen een account maken om toegang te behouden tot doelsystemen. Met een voldoende toegangsniveau kan het maken van dergelijke accounts worden gebruikt om secundaire toegang met referenties tot stand te brengen zonder dat permanente hulpprogramma's voor externe toegang op het systeem moeten worden geïmplementeerd.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | auditlogboeken Microsoft Entra |
| MITRE ATT&CK-tactieken: | Persistentie |
| MITRE ATT&CK-technieken: | T1136 - Account maken |
| MITRE ATT&CK-subtechnieken: | Cloudaccount |
| Activiteit: | Core Directory/UserManagement/Gebruiker toevoegen |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
UEBA Afwijkende account verwijderen
Beschrijving: Kwaadwillenden kunnen de beschikbaarheid van systeem- en netwerkbronnen onderbreken door de toegang te beperken tot accounts die worden gebruikt door legitieme gebruikers. Accounts kunnen worden verwijderd, vergrendeld of gemanipuleerd (bijvoorbeeld gewijzigde referenties) om de toegang tot accounts te verwijderen.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | auditlogboeken Microsoft Entra |
| MITRE ATT&CK-tactieken: | Impact |
| MITRE ATT&CK-technieken: | T1531 - Accounttoegang verwijderen |
| Activiteit: | Core Directory/UserManagement/Gebruiker verwijderen Hoofdmap/apparaat/gebruiker verwijderen Core Directory/UserManagement/Gebruiker verwijderen |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
UEBA Anomalous Account Manipulatie
Beschrijving: Kwaadwillenden kunnen accounts manipuleren om toegang tot doelsystemen te behouden. Deze acties omvatten het toevoegen van nieuwe accounts aan groepen met hoge bevoegdheden. Dragonfly 2.0 heeft bijvoorbeeld zojuist gemaakte accounts toegevoegd aan de beheerdersgroep om verhoogde toegang te behouden. De onderstaande query genereert een uitvoer van alle high-Blast Radius-gebruikers die 'Gebruiker bijwerken' (naamswijziging) uitvoeren naar bevoorrechte rol, of van gebruikers die voor het eerst gebruikers hebben gewijzigd.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | auditlogboeken Microsoft Entra |
| MITRE ATT&CK-tactieken: | Persistentie |
| MITRE ATT&CK-technieken: | T1098 - Accountmanipulatie |
| Activiteit: | Core Directory/UserManagement/Gebruiker bijwerken |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
Afwijkende UEBA-activiteit in GCP-auditlogboeken
Beschrijving: Mislukte toegangspogingen tot GCP-resources (Google Cloud Platform) op basis van IAM-gerelateerde vermeldingen in GCP-auditlogboeken. Deze fouten kunnen betrekking hebben op onjuist geconfigureerde machtigingen, pogingen om toegang te krijgen tot niet-geautoriseerde services of gedrag van aanvallers in een vroeg stadium, zoals het testen van bevoegdheden of persistentie via serviceaccounts.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | GCP-auditlogboeken |
| MITRE ATT&CK-tactieken: | Ontdekken |
| MITRE ATT&CK-technieken: | T1087 – Accountdetectie, T1069 – Detectie van machtigingsgroepen |
| Activiteit: | iam.googleapis.com |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
Afwijkende UEBA-activiteit in Okta_CL
Beschrijving: Onverwachte verificatieactiviteit of beveiligingsgerelateerde configuratiewijzigingen in Okta, waaronder wijzigingen in aanmeldingsregels, meervoudige verificatie (MFA) afdwingen of beheerdersbevoegdheden. Dergelijke activiteit kan duiden op pogingen om identiteitsbeveiligingsbesturingselementen te wijzigen of toegang te behouden via bevoegde wijzigingen.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | Okta Cloud-logboeken |
| MITRE ATT&CK-tactieken: | Persistentie, escalatie van bevoegdheden |
| MITRE ATT&CK-technieken: | T1098 - Accountmanipulatie, T1556 - Verificatieproces wijzigen |
| Activiteit: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
UEBA Anomalous Authentication
Beschrijving: Ongebruikelijke verificatieactiviteit voor signalen van Microsoft Defender voor Eindpunt en Microsoft Entra ID, waaronder apparaataanmeldingen, aanmeldingen voor beheerde identiteiten en service-principalverificaties van Microsoft Entra ID. Deze afwijkingen kunnen duiden op misbruik van referenties, niet-menselijke identiteitsmisbruik of laterale verplaatsingspogingen buiten typische toegangspatronen.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | Microsoft Defender voor Eindpunt, Microsoft Entra ID |
| MITRE ATT&CK-tactieken: | Initiële toegang |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
| Activiteit: |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
Uitvoering van afwijkende UEBA-code
Beschrijving: Kwaadwillende gebruikers kunnen opdracht- en scriptinterpreters misbruiken om opdrachten, scripts of binaire bestanden uit te voeren. Deze interfaces en talen bieden manieren om te communiceren met computersystemen en zijn een algemene functie op veel verschillende platforms.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | activiteitenlogboeken Azure |
| MITRE ATT&CK-tactieken: | Uitvoering |
| MITRE ATT&CK-technieken: | T1059 - Opdracht- en scriptinterpreter |
| MITRE ATT&CK-subtechnieken: | PowerShell |
| Activiteit: | Microsoft.Compute/virtualMachines/runCommand/action |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
UEBA Afwijkende gegevensvernietiging
Beschrijving: Kwaadwillende personen kunnen gegevens en bestanden op specifieke systemen of in grote aantallen op een netwerk vernietigen om de beschikbaarheid van systemen, services en netwerkbronnen te onderbreken. Gegevensvernietiging maakt opgeslagen gegevens waarschijnlijk onherstelbaar door forensische technieken door bestanden of gegevens op lokale en externe stations te overschrijven.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | activiteitenlogboeken Azure |
| MITRE ATT&CK-tactieken: | Impact |
| MITRE ATT&CK-technieken: | T1485 - Gegevensvernietiging |
| Activiteit: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
UEBA Anomalous Data Transfer from Amazon S3
Beschrijving: Afwijkingen in gegevenstoegangs- of downloadpatronen van Amazon Simple Storage Service (S3). De anomalie wordt bepaald met behulp van gedragsbasislijnen voor elke gebruiker, service en resource, waarbij het volume, de frequentie en het aantal geopende objecten worden vergeleken met historische normen. Significante afwijkingen, zoals voor het eerst bulksgewijs openen, ongebruikelijk grote gegevens die worden opgehaald of activiteiten van nieuwe locaties of toepassingen, kunnen duiden op mogelijke gegevensexfiltratie, beleidsschendingen of misbruik van gecompromitteerde referenties.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | AWS CloudTrail-logboeken |
| MITRE ATT&CK-tactieken: | Exfiltratie |
| MITRE ATT&CK-technieken: | T1567 - Exfiltratie via webservice |
| Activiteit: | PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
UEBA Afwijkende verdedigingsmechanisme aanpassing
Beschrijving: Kwaadwillenden kunnen beveiligingshulpprogramma's uitschakelen om mogelijke detectie van hun hulpprogramma's en activiteiten te voorkomen.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | activiteitenlogboeken Azure |
| MITRE ATT&CK-tactieken: | Ontwijking van verdediging |
| MITRE ATT&CK-technieken: | T1562 - Verdedigingen verstoren |
| MITRE ATT&CK-subtechnieken: | Hulpprogramma's uitschakelen of wijzigen Cloudfirewall uitschakelen of wijzigen |
| Activiteit: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
UEBA Anomalous Mislukte aanmelding
Beschrijving: Kwaadwillenden zonder voorafgaande kennis van legitieme referenties binnen het systeem of de omgeving kunnen wachtwoorden raden om toegang tot accounts te proberen.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | aanmeldingslogboeken Microsoft Entra Windows-beveiliging logboeken |
| MITRE ATT&CK-tactieken: | Toegang tot referenties |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
| Activiteit: |
Microsoft Entra ID: aanmeldingsactiviteit Windows-beveiliging: Aanmelding mislukt (gebeurtenis-id 4625) |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
UEBA Anomalous Federated of SAML Identity Activity in AwsCloudTrail
Beschrijving: Ongebruikelijke activiteit door federatieve of saml-gebaseerde identiteiten (Security Assertion Markup Language) met betrekking tot voor het eerst acties, onbekende geografische locaties of overmatige API-aanroepen. Dergelijke afwijkingen kunnen duiden op sessiekaping of misbruik van federatieve referenties.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | AWS CloudTrail-logboeken |
| MITRE ATT&CK-tactieken: | Initiële toegang, persistentie |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts, T1550 - Alternatief verificatiemateriaal gebruiken |
| Activiteit: | UserAuthentication (EXTERNAL_IDP) |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
Wijziging van UEBA-afwijkende IAM-bevoegdheden in AwsCloudTrail
Beschrijving: Afwijkingen in beheergedrag van identiteits- en toegangsbeheer (IAM), zoals het voor het eerst maken, wijzigen of verwijderen van rollen, gebruikers en groepen, of bijlage van nieuw inline- of beheerd beleid. Deze kunnen duiden op escalatie van bevoegdheden of misbruik van beleid.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | AWS CloudTrail-logboeken |
| MITRE ATT&CK-tactieken: | Escalatie van bevoegdheden, persistentie |
| MITRE ATT&CK-technieken: | T1136 - Account maken, T1098 - Accountmanipulatie |
| Activiteit: | Bewerkingen maken, toevoegen, koppelen, verwijderen, deactiveren, plaatsen en bijwerken op iam.amazonaws.com, sso-directory.amazonaws.com |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
UEBA Anomalous Aanmelding in AwsCloudTrail
Beschrijving: Ongebruikelijke aanmeldingsactiviteit in AWS-services (Amazon Web Services) op basis van CloudTrail-gebeurtenissen zoals ConsoleLogin en andere verificatiegerelateerde kenmerken. Afwijkingen worden bepaald door afwijkingen in gebruikersgedrag op basis van kenmerken zoals geolocatie, apparaatvingervinger, ISP en toegangsmethode, en kunnen duiden op onbevoegde toegangspogingen of mogelijke beleidsschendingen.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | AWS CloudTrail-logboeken |
| MITRE ATT&CK-tactieken: | Initiële toegang |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
| Activiteit: | ConsoleLogin |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
UEBA anomalous MFA-fouten in Okta_CL
Beschrijving: Ongebruikelijke patronen van mislukte MFA-pogingen in Okta. Deze afwijkingen kunnen het gevolg zijn van misbruik van accounts, het opsproppen van referenties of onjuist gebruik van vertrouwde apparaatmechanismen, en zijn vaak het gevolg van ongewenst gedrag in een vroeg stadium, zoals het testen van gestolen referenties of het onderzoeken van identiteitsbeveiligingen.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | Okta Cloud-logboeken |
| MITRE ATT&CK-tactieken: | Persistentie, escalatie van bevoegdheden |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts, T1556 - Verificatieproces wijzigen |
| Activiteit: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
UEBA Anlous wachtwoord opnieuw instellen
Beschrijving: Kwaadwillenden kunnen de beschikbaarheid van systeem- en netwerkbronnen onderbreken door de toegang te beperken tot accounts die worden gebruikt door legitieme gebruikers. Accounts kunnen worden verwijderd, vergrendeld of gemanipuleerd (bijvoorbeeld gewijzigde referenties) om de toegang tot accounts te verwijderen.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | auditlogboeken Microsoft Entra |
| MITRE ATT&CK-tactieken: | Impact |
| MITRE ATT&CK-technieken: | T1531 - Accounttoegang verwijderen |
| Activiteit: | Core Directory/UserManagement/Gebruikerswachtwoord opnieuw instellen |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
Afwijkende UEBA-bevoegdheid verleend
Beschrijving: Kwaadwillenden kunnen referenties voor Azure service-principals toevoegen naast bestaande legitieme referenties om permanente toegang te behouden tot accounts van het slachtoffer Azure.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | auditlogboeken Microsoft Entra |
| MITRE ATT&CK-tactieken: | Persistentie |
| MITRE ATT&CK-technieken: | T1098 - Accountmanipulatie |
| MITRE ATT&CK-subtechnieken: | Aanvullende referenties voor Azure service-principal |
| Activiteit: | Accountinrichting/Toepassingsbeheer/App-roltoewijzing toevoegen aan service-principal |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
UEBA Anomalous Secret of KMS Key Access in AwsCloudTrail
Beschrijving: Verdachte toegang tot AWS Secrets Manager of KMS-resources (Key Management Service). Eerste toegang of ongebruikelijk hoge toegangsfrequentie kan duiden op het verzamelen van referenties of pogingen tot gegevensexfiltratie.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | AWS CloudTrail-logboeken |
| MITRE ATT&CK-tactieken: | Referentietoegang, verzameling |
| MITRE ATT&CK-technieken: | T1555 - Referenties van wachtwoordarchieven |
| Activiteit: | GetSecretValue BatchGetSecretValue ListKeys ListSecrets PutSecretValue CreateSecret UpdateSecret DeleteSecret CreateKey PutKeyPolicy |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
UEBA Anomalous Aanmelding
Beschrijving: Kwaadwillenden kunnen de referenties van een specifiek gebruikers- of serviceaccount stelen met behulp van credential access-technieken of referenties eerder in hun verkenningsproces vastleggen via social engineering om persistentie te verkrijgen.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | aanmeldingslogboeken Microsoft Entra Windows-beveiliging logboeken |
| MITRE ATT&CK-tactieken: | Persistentie |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
| Activiteit: |
Microsoft Entra ID: aanmeldingsactiviteit Windows-beveiliging: Geslaagde aanmelding (gebeurtenis-id 4624) |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
UEBA Anomalous STS AssumeRole Behavior in AwsCloudTrail
Beschrijving: Afwijkend gebruik van AWS Security Token Service (STS) AssumeRole-acties, met name met betrekking tot bevoorrechte rollen of toegang tussen accounts. Afwijkingen van normaal gebruik kunnen duiden op escalatie van bevoegdheden of identiteitsinbreuk.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | UEBA |
| Gegevensbronnen: | AWS CloudTrail-logboeken |
| MITRE ATT&CK-tactieken: | Escalatie van bevoegdheden, defensieontduiking |
| MITRE ATT&CK-technieken: | T1548 - Abuse Elevation Control Mechanism, T1078 - Geldige accounts |
| Activiteit: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity AssumeRoot |
Terug naar lijst | met UEBA-afwijkingenTerug naar boven
Op machine learning gebaseerde afwijkingen
Microsoft Sentinel aanpasbare afwijkingen op basis van machine learning kunnen afwijkend gedrag identificeren met analyseregelsjablonen die direct aan de slag kunnen. Hoewel afwijkingen op zichzelf niet noodzakelijkerwijs schadelijk of zelfs verdacht gedrag aangeven, kunnen ze worden gebruikt om detecties, onderzoeken en opsporing van bedreigingen te verbeteren.
- Afwijkende Azure bewerkingen
- Afwijkende code-uitvoering
- Afwijkend lokaal account maken
- Afwijkende gebruikersactiviteiten in Office Exchange
- Poging tot computer brute force
- Poging tot brute force van gebruikersaccount
- Poging tot brute force van gebruikersaccount per aanmeldingstype
- Poging tot brute force van gebruikersaccount per foutreden
- Gedrag van door de machine gegenereerde netwerkverbinding detecteren
- Algoritme voor domeingeneratie (DGA) in DNS-domeinen
- Overmatige downloads via Palo Alto GlobalProtect
- Overmatige uploads via Palo Alto GlobalProtect
- Algoritme voor potentiële domeingeneratie (DGA) op dns-domeinen op het volgende niveau
- Verdacht volume AWS API-aanroepen van niet-AWS-bron-IP-adres
- Verdacht volume van AWS-schrijf-API-aanroepen vanuit een gebruikersaccount
- Verdacht aantal aanmeldingen op de computer
- Verdacht aantal aanmeldingen op computer met token met verhoogde bevoegdheid
- Verdacht volume van aanmeldingen bij gebruikersaccount
- Verdacht aantal aanmeldingen bij gebruikersaccounts per aanmeldingstype
- Verdacht aantal aanmeldingen bij gebruikersaccount met token met verhoogde bevoegdheid
Afwijkende Azure bewerkingen
Beschrijving: Dit detectie-algoritme verzamelt 21 dagen aan gegevens over Azure bewerkingen gegroepeerd per gebruiker om dit ML-model te trainen. Het algoritme genereert vervolgens afwijkingen in het geval van gebruikers die reeksen bewerkingen hebben uitgevoerd die ongebruikelijk zijn in hun werkruimten. Het getrainde ML-model beoordeelt de bewerkingen die door de gebruiker worden uitgevoerd en houdt rekening met afwijkende bewerkingen waarvan de score hoger is dan de gedefinieerde drempelwaarde.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | activiteitenlogboeken Azure |
| MITRE ATT&CK-tactieken: | Initiële toegang |
| MITRE ATT&CK-technieken: | T1190 - Exploit Public-Facing-toepassing |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Afwijkende code-uitvoering
Beschrijving: Aanvallers kunnen opdrachten en scriptinterpreters misbruiken om opdrachten, scripts of binaire bestanden uit te voeren. Deze interfaces en talen bieden manieren om te communiceren met computersystemen en zijn een algemene functie op veel verschillende platforms.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | activiteitenlogboeken Azure |
| MITRE ATT&CK-tactieken: | Uitvoering |
| MITRE ATT&CK-technieken: | T1059 - Opdracht- en scriptinterpreter |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Afwijkend lokaal account maken
Beschrijving: Dit algoritme detecteert afwijkende lokale accounts maken op Windows-systemen. Aanvallers kunnen lokale accounts maken om toegang te houden tot doelsystemen. Dit algoritme analyseert activiteiten voor het maken van lokale accounts in de afgelopen 14 dagen door gebruikers. Er wordt gezocht naar vergelijkbare activiteit op de huidige dag van gebruikers die eerder niet in historische activiteit werden gezien. U kunt een acceptatielijst opgeven om bekende gebruikers te filteren voor het activeren van deze anomalie.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | Windows-beveiliging logboeken |
| MITRE ATT&CK-tactieken: | Persistentie |
| MITRE ATT&CK-technieken: | T1136 - Account maken |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Afwijkende gebruikersactiviteiten in Office Exchange
Beschrijving: Dit machine learning-model groepeert de Office Exchange-logboeken per gebruiker in buckets per uur. We definiëren een uur als een sessie. Het model is getraind op de afgelopen 7 dagen van gedrag voor alle gewone (niet-beheerders) gebruikers. Hiermee worden afwijkende Office Exchange-sessies van gebruikers in de afgelopen dag aangegeven.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | Office-activiteitenlogboek (Exchange) |
| MITRE ATT&CK-tactieken: | Persistentie Verzameling |
| MITRE ATT&CK-technieken: |
Collectie: T1114 - Email Collectie T1213 - Gegevens uit informatieopslagplaatsen Persistentie: T1098 - Accountmanipulatie T1136 - Account maken T1137 - Office-toepassing opstarten T1505 - Softwareonderdeel server |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Poging tot computer brute force
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal mislukte aanmeldingspogingen (beveiligingsgebeurtenis-id 4625) per computer in de afgelopen dag. Het model wordt getraind in de vorige 21 dagen van windows-beveiligingsgebeurtenislogboeken.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | Windows-beveiliging logboeken |
| MITRE ATT&CK-tactieken: | Toegang tot referenties |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Poging tot brute force van gebruikersaccount
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal mislukte aanmeldingspogingen (beveiligingsgebeurtenis-id 4625) per gebruikersaccount in de afgelopen dag. Het model wordt getraind in de vorige 21 dagen van windows-beveiligingsgebeurtenislogboeken.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | Windows-beveiliging logboeken |
| MITRE ATT&CK-tactieken: | Toegang tot referenties |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Poging tot brute force van gebruikersaccount per aanmeldingstype
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal mislukte aanmeldingspogingen (beveiligingsgebeurtenis-id 4625) per gebruikersaccount per aanmeldingstype in de afgelopen dag. Het model wordt getraind in de vorige 21 dagen van windows-beveiligingsgebeurtenislogboeken.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | Windows-beveiliging logboeken |
| MITRE ATT&CK-tactieken: | Toegang tot referenties |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Poging tot brute force van gebruikersaccount per foutreden
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal mislukte aanmeldingspogingen (beveiligingsgebeurtenis-id 4625) per gebruikersaccount per foutreden in de afgelopen dag. Het model wordt getraind in de vorige 21 dagen van windows-beveiligingsgebeurtenislogboeken.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | Windows-beveiliging logboeken |
| MITRE ATT&CK-tactieken: | Toegang tot referenties |
| MITRE ATT&CK-technieken: | T1110 - Brute Force |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Gedrag van door de machine gegenereerde netwerkverbinding detecteren
Beschrijving: Dit algoritme identificeert beaconingpatronen uit netwerkverkeersverbindingslogboeken op basis van terugkerende time delta-patronen. Elke netwerkverbinding met niet-vertrouwde openbare netwerken bij herhaalde tijds deltas is een indicatie van malware callbacks of gegevensexfiltratiepogingen. Het algoritme berekent de tijdsverschil tussen opeenvolgende netwerkverbindingen tussen hetzelfde bron-IP- en doel-IP-adres, evenals het aantal verbindingen in een time-delta-reeks tussen dezelfde bronnen en bestemmingen. Het percentage beaconing wordt berekend als de verbindingen in tijd-deltareeks op basis van het totale aantal verbindingen op een dag.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | CommonSecurityLog (PAN) |
| MITRE ATT&CK-tactieken: | Opdracht en beheer |
| MITRE ATT&CK-technieken: | T1071 - Application Layer Protocol T1132 - Gegevenscodering T1001 - Gegevensverhulding T1568 - Dynamische resolutie T1573 - Versleuteld kanaal T1008 - Terugvalkanalen T1104 - Kanalen met meerdere fasen T1095 - Niet-Application Layer Protocol T1571 - Niet-standaardpoort T1572 - Protocol Tunneling T1090 - Proxy T1205 - Verkeerssignalering T1102 - Webservice |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Algoritme voor domeingeneratie (DGA) in DNS-domeinen
Beschrijving: Dit machine learning-model geeft potentiële DGA-domeinen van de afgelopen dag aan in de DNS-logboeken. Het algoritme is van toepassing op DNS-records die worden omgezet in IPv4- en IPv6-adressen.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | DNS-gebeurtenissen |
| MITRE ATT&CK-tactieken: | Opdracht en beheer |
| MITRE ATT&CK-technieken: | T1568 - Dynamische resolutie |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Overmatige downloads via Palo Alto GlobalProtect
Beschrijving: Dit algoritme detecteert een ongebruikelijk hoog downloadvolume per gebruikersaccount via de Palo Alto VPN-oplossing. Het model wordt getraind in de vorige 14 dagen van de VPN-logboeken. Het duidt op een afwijkend groot aantal downloads in de afgelopen dag.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-tactieken: | Exfiltratie |
| MITRE ATT&CK-technieken: | T1030 - Limieten voor gegevensoverdracht T1041 - Exfiltratie via C2-kanaal T1011 - Exfiltratie via ander netwerkmedium T1567 - Exfiltratie via webservice T1029 - Geplande overdracht T1537 - Gegevens overdragen naar cloudaccount |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Overmatige uploads via Palo Alto GlobalProtect
Beschrijving: Dit algoritme detecteert een ongebruikelijk hoog uploadvolume per gebruikersaccount via de Palo Alto VPN-oplossing. Het model wordt getraind in de vorige 14 dagen van de VPN-logboeken. Dit duidt op een afwijkend hoog uploadvolume in de afgelopen dag.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-tactieken: | Exfiltratie |
| MITRE ATT&CK-technieken: | T1030 - Limieten voor gegevensoverdracht T1041 - Exfiltratie via C2-kanaal T1011 - Exfiltratie via ander netwerkmedium T1567 - Exfiltratie via webservice T1029 - Geplande overdracht T1537 - Gegevens overdragen naar cloudaccount |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Algoritme voor potentiële domeingeneratie (DGA) op dns-domeinen op het volgende niveau
Beschrijving: Dit machine learning-model geeft de domeinen van het volgende niveau (derde niveau en hoger) aan van de domeinnamen van de laatste dag van dns-logboeken die ongebruikelijk zijn. Ze kunnen mogelijk de uitvoer zijn van een domeingeneratiealgoritme (DGA). De anomalie is van toepassing op de DNS-records die worden omgezet in IPv4- en IPv6-adressen.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | DNS-gebeurtenissen |
| MITRE ATT&CK-tactieken: | Opdracht en beheer |
| MITRE ATT&CK-technieken: | T1568 - Dynamische resolutie |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Verdacht volume AWS API-aanroepen van niet-AWS-bron-IP-adres
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal AWS API-aanroepen per gebruikersaccount per werkruimte, van bron-IP-adressen buiten de bron-IP-bereiken van AWS, binnen de laatste dag. Het model is getraind op de vorige 21 dagen van AWS CloudTrail-logboekgebeurtenissen per bron-IP-adres. Deze activiteit kan erop wijzen dat het gebruikersaccount is gecompromitteerd.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | AWS CloudTrail-logboeken |
| MITRE ATT&CK-tactieken: | Initiële toegang |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Verdacht volume van AWS-schrijf-API-aanroepen vanuit een gebruikersaccount
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot volume AWS-schrijf-API-aanroepen per gebruikersaccount binnen de afgelopen dag. Het model is getraind op de vorige 21 dagen van AWS CloudTrail-logboekgebeurtenissen per gebruikersaccount. Deze activiteit kan erop wijzen dat het account is gecompromitteerd.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | AWS CloudTrail-logboeken |
| MITRE ATT&CK-tactieken: | Initiële toegang |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Verdacht aantal aanmeldingen op de computer
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal geslaagde aanmeldingen (beveiligingsgebeurtenis-id 4624) per computer in de afgelopen dag. Het model wordt getraind in de afgelopen 21 dagen van Windows-beveiliging gebeurtenislogboeken.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | Windows-beveiliging logboeken |
| MITRE ATT&CK-tactieken: | Initiële toegang |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Verdacht aantal aanmeldingen op computer met token met verhoogde bevoegdheid
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal geslaagde aanmeldingen (beveiligingsgebeurtenis-id 4624) met beheerdersbevoegdheden, per computer, in de afgelopen dag. Het model wordt getraind in de afgelopen 21 dagen van Windows-beveiliging gebeurtenislogboeken.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | Windows-beveiliging logboeken |
| MITRE ATT&CK-tactieken: | Initiële toegang |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Verdacht volume van aanmeldingen bij gebruikersaccount
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal geslaagde aanmeldingen (beveiligingsgebeurtenis-id 4624) per gebruikersaccount in de afgelopen dag. Het model wordt getraind in de afgelopen 21 dagen van Windows-beveiliging gebeurtenislogboeken.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | Windows-beveiliging logboeken |
| MITRE ATT&CK-tactieken: | Initiële toegang |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Verdacht aantal aanmeldingen bij gebruikersaccounts per aanmeldingstype
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal geslaagde aanmeldingen (beveiligingsgebeurtenis-id 4624) per gebruikersaccount, door verschillende aanmeldingstypen, in de afgelopen dag. Het model wordt getraind in de afgelopen 21 dagen van Windows-beveiliging gebeurtenislogboeken.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | Windows-beveiliging logboeken |
| MITRE ATT&CK-tactieken: | Initiële toegang |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Verdacht aantal aanmeldingen bij gebruikersaccount met token met verhoogde bevoegdheid
Beschrijving: Dit algoritme detecteert een ongebruikelijk groot aantal geslaagde aanmeldingen (beveiligingsgebeurtenis-id 4624) met beheerdersbevoegdheden, per gebruikersaccount, gedurende de afgelopen dag. Het model wordt getraind in de afgelopen 21 dagen van Windows-beveiliging gebeurtenislogboeken.
| Attribuut | Waarde |
|---|---|
| Anomalietype: | Aanpasbare machine learning |
| Gegevensbronnen: | Windows-beveiliging logboeken |
| MITRE ATT&CK-tactieken: | Initiële toegang |
| MITRE ATT&CK-technieken: | T1078 - Geldige accounts |
Terug naar de lijst met op Machine learning gebaseerde afwijkingen | Terug naar boven
Volgende stappen
- Meer informatie over door machine learning gegenereerde afwijkingen in Microsoft Sentinel.
- Meer informatie over het werken met anomalieregels.
- Incidenten onderzoeken met Microsoft Sentinel.