Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Sentinel erkennt Anomalien, indem das Verhalten von Benutzern in einer Umgebung über einen bestimmten Zeitraum analysiert und eine Basis für legitime Aktivitäten erstellt wird. Sobald die Baseline festgelegt wurde, wird jede Aktivität außerhalb der normalen Parameter als anomale und daher verdächtiger Aktivität betrachtet.
Microsoft Sentinel verwendet zwei Modelle, um Basispläne zu erstellen und Anomalien zu erkennen.
In diesem Artikel werden die Anomalien aufgeführt, die Microsoft Sentinel mithilfe verschiedener machine learning Modelle erkennt.
In der Tabelle Anomalies:
- Die
rulenameSpalte gibt die Regel Sentinel an, die verwendet wird, um jede Anomalie zu identifizieren. - Die
scoreSpalte enthält einen numerischen Wert zwischen 0 und 1, der den Grad der Abweichung vom erwarteten Verhalten quantifiziert. Höhere Bewertungen deuten auf eine größere Abweichung von der Basislinie hin und sind wahrscheinlicher, dass es sich um echte Anomalien handelt. Niedrigere Bewertungen sind möglicherweise immer noch anomalien, sind aber weniger wahrscheinlich signifikant oder umsetzbar.
Note
Diese Anomalieerkennungen werden ab dem 8. März 2026 aufgrund geringer Ergebnisqualität eingestellt:
- Domänengenerierungsalgorithmus (DGA) für DNS-Domänen
- Potenzieller Domänengenerierungsalgorithmus (DGA) auf DNS-Domänen der nächsten Ebene
Vergleichen von UEBA- und machine learning-basierten Anomalien
UEBA und machine learning (ML) -based Anomalien sind komplementäre Ansätze zur Anomalieerkennung. Beide füllen die Anomalies Tabelle auf, dienen jedoch unterschiedlichen Zwecken:
| Aspekt | UEBA-Anomalien | ML-Anomalieerkennungsregeln |
|---|---|---|
| Fokus | Wer verhält sich ungewöhnlich | Welche Aktivität ungewöhnlich ist |
| Erkennungsansatz | Entitätsorientierte Verhaltensbaselines im Vergleich zu historischen Aktivitäten, Peerverhalten und organisationsweiten Mustern | Anpassbare Regelvorlagen mit statistischen und ML-Modellen, die auf bestimmten Datenmustern trainiert wurden |
| Basisplanquelle | Der eigene Verlauf, die Peergruppe und die Organisation jeder Entität | Schulungszeitraum (in der Regel 7-21 Tage) für bestimmte Ereignistypen |
| Anpassung | Aktiviert/deaktiviert mit UEBA-Einstellungen | Tunable Schwellenwerte und Parameter mithilfe der Analyseregel-UI |
| Beispiele | Anomale Anmeldung, anomaliele Kontoerstellung, anomaliele Änderung der Berechtigungen | Versuchte Brute Force, übermäßige Downloads, Netzwerkbeacons |
Weitere Informationen findest du unter:
UEBA-Anomalien
Sentinel UEBA erkennt Anomalien auf der Grundlage dynamischer Baselines, die für jede Entität über verschiedene Dateneingaben erstellt werden. Das Basisverhalten jeder Entität wird gemäß ihren eigenen bisherigen Aktivitäten, denen ihrer Peers und denen der Organisation als Ganzes festgelegt. Anomalien können durch die Korrelation verschiedener Attribute wie Aktionstyp, geografischer Standort, Gerät, Ressource, ISP etc. ausgelöst werden.
Sie müssen UEBA und Anomalieerkennung in Ihrem Sentinel-Arbeitsbereich aktivieren , um UEBA-Anomalien zu erkennen.
UEBA erkennt Anomalien basierend auf diesen Anomalieregeln:
- UEBA Anomalous Account Access Entfernung
- UEBA Anomale Kontoerstellung
- UEBA Anomale Kontolöschung
- UEBA Anomale Kontomanipulation
- UEBA Anomale Aktivität in GCP-Überwachungsprotokollen
- UEBA Anomale Aktivität in Okta_CL
- UEBA Anomale Authentifizierung
- UEBA Anomale Codeausführung
- UEBA Anomale Datenvernichtung
- UEBA Anomalous Data Transfer von Amazon S3
- UEBA Anomale Defensivmechanismusänderung
- UEBA Anomalous Fehlgeschlagene Anmeldung
- UEBA Anomalous Federated- oder SAML Identity Activity in AwsCloudTrail
- UEBA Anomalous IAM Privilege Modification in AwsCloudTrail
- UEBA Anomalous-Anmeldung in AwsCloudTrail
- UEBA Anomale MFA-Fehler in Okta_CL
- UEBA Anomale Kennwortzurücksetzung
- UEBA-Anomale Berechtigungen gewährt
- UEBA Anomalous Secret oder KMS Key Access in AwsCloudTrail
- UEBA-Anomale Anmeldung
- UEBA Anomalous STS AssumeRole Behavior in AwsCloudTrail
Sentinel verwendet angereicherte Daten aus der BehaviorAnalytics-Tabelle, um UEBA-Anomalien mit einer Für Ihren Mandanten und Ihrer Quelle spezifischen Konfidenzbewertung zu identifizieren.
UEBA Anomalous-Konto Access Entfernen
Description: Ein Angreifer kann die Verfügbarkeit von System- und Netzwerkressourcen unterbrechen, indem access für Konten blockiert werden, die von legitimen Benutzern verwendet werden. Der Angreifer kann ein Konto löschen, sperren oder bearbeiten (z. B. durch Ändern seiner Anmeldeinformationen), um access zu entfernen.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Azure Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Impact |
| MITRE ATT&CK-Techniken: | T1531 - Konto Access Entfernung |
| Activity: | Microsoft.Authorization/roleAssignments/delete Ausloggen |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA Anomale Kontoerstellung
Description: Angreifer können ein Konto erstellen, um access gezielten Systemen zu verwalten. Die Erstellung solcher Konten kann bei ausreichender access verwendet werden, um sekundäre Anmeldeinformationen access einzurichten, ohne dass dauerhafte Remote-access-Tools auf dem System bereitgestellt werden müssen.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Persistence |
| MITRE ATT&CK-Techniken: | T1136 – Konto erstellen |
| MITRE ATT&CK-Untertechniken: | Cloudkonto |
| Activity: | Kernverzeichnis/Benutzerverwaltung/Benutzer hinzufügen |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA Anomale Kontolöschung
Description: Angreifer können die Verfügbarkeit von System- und Netzwerkressourcen unterbrechen, indem sie access für Konten, die von legitimen Benutzern genutzt werden, behindern. Konten können gelöscht, gesperrt oder bearbeitet werden (z. B. geänderte Anmeldeinformationen), um access für Konten zu entfernen.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Impact |
| MITRE ATT&CK-Techniken: | T1531 - Konto Access Entfernung |
| Activity: | Kernverzeichnis/Benutzerverwaltung/Benutzer löschen Kernverzeichnis/Gerät/Benutzer löschen Kernverzeichnis/Benutzerverwaltung/Benutzer löschen |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA Anomale Kontomanipulation
Description: Angreifer können Konten bearbeiten, um access auf Zielsysteme zu verwalten. Diese Aktionen umfassen das Hinzufügen neuer Konten zu privilegierten Gruppen. Dragonfly 2.0 wurde beispielsweise der Gruppe "Administratoren" neu erstellte Konten hinzugefügt, um erhöhte access aufrechtzuerhalten. Mit der folgenden Abfrage wird die Ausgabe aller Benutzer mit hohem Wirkungsgrad generiert, die „Benutzer aktualisieren“ (Namensänderung) für privilegierte Rollen ausführen, oder solche, bei denen die Benutzer zum ersten Mal geändert wurden.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Persistence |
| MITRE ATT&CK-Techniken: | T1098 – Kontobearbeitung |
| Activity: | Kernverzeichnis/Benutzerverwaltung/Benutzer aktualisieren |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA Anomale Aktivität in GCP-Überwachungsprotokollen
Description: Fehlgeschlagene access Versuche an Google Cloud Platform (GCP)-Ressourcen basierend auf DEN IAM-bezogenen Einträgen in GCP-Überwachungsprotokollen. Diese Fehler spiegeln möglicherweise falsch konfigurierte Berechtigungen wider, versuchen, nicht autorisierte Dienste zu access oder Frühzeitiges Verhalten von Angreifern wie Berechtigungsverdändung oder Persistenz über Dienstkonten.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | GCP-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Ermittlung |
| MITRE ATT&CK-Techniken: | T1087 – Account Discovery, T1069 – Permission Groups Discovery |
| Activity: | iam.googleapis.com |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA Anomale Aktivität in Okta_CL
Beschreibung: Unerwartete Authentifizierungsaktivitäten oder sicherheitsbezogene Konfigurationsänderungen in Okta, einschließlich Änderungen an Anmelderegeln, mehrstufigeR Authentifizierung (MFA) oder Administratorrechten. Diese Aktivität kann auf Versuche hinweisen, Identitätssicherheitskontrollen zu ändern oder access durch privilegierte Änderungen aufrechtzuerhalten.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Okta-Cloudprotokolle |
| MITRE ATT&CK-Taktiken: | Persistenz, Berechtigungseskalation |
| MITRE ATT&CK-Techniken: | T1098 - Kontomanipulation, T1556 – Authentifizierungsprozess ändern |
| Activity: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA Anomale Authentifizierung
Description: Ungewöhnliche Authentifizierungsaktivität über Signale von Microsoft Defender for Endpoint und Microsoft Entra ID hinweg, einschließlich Geräteanmeldungen, Anmeldungen verwalteter Identitäten und Dienstprinzipalauthentifizierungen von Microsoft Entra ID. Diese Anomalien können Missbrauch von Anmeldeinformationen, nicht menschliche Identitätsmissbrauch oder Lateralbewegungsversuche außerhalb typischer access Muster vorschlagen.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Defender for Endpoint, Microsoft Entra ID |
| MITRE ATT&CK-Taktiken: | Anfängliche Access |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
| Activity: |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA Anomale Codeausführung
Beschreibung: Angreifer können Befehle und Skriptdolmetscher missbrauchen, um Befehle, Skripts oder Binärdateien auszuführen. Diese Schnittstellen und Sprachen bieten Möglichkeiten für die Interaktion mit Computersystemen und sind ein gemeinsames Feature vieler verschiedener Plattformen.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Azure Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Execution |
| MITRE ATT&CK-Techniken: | T1059 – Befehls- und Skript-Interpreter |
| MITRE ATT&CK-Untertechniken: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA Anomale Datenvernichtung
Beschreibung: Angreifer können Daten und Dateien auf bestimmten Systemen oder in großen Zahlen in einem Netzwerk zerstören, um die Verfügbarkeit von Systemen, Diensten und Netzwerkressourcen zu unterbrechen. Durch die Datenvernichtung werden gespeicherte Daten durch forensische Techniken durch Überschreiben von Dateien oder Daten auf lokalen und Remotelaufwerken unwiederherstellbar.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Azure Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Impact |
| MITRE ATT&CK-Techniken: | T1485 – Datenvernichtung |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft. Storage/storageAccounts/delete Microsoft. Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft. Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft. Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA Anomalous Data Transfer von Amazon S3
Description: Abweichungen in Daten access oder Downloadmustern von Amazon Simple Storage Service (S3). Die Anomalie wird mithilfe von Verhaltensbasiswerten für jeden Benutzer, Dienst und jede Ressource bestimmt, wobei die Anzahl der Datenübertragungen, häufigkeit und der Zugriff auf Objekte anhand historischer Normen verglichen werden. Signifikante Abweichungen – z. B. erstmalige Massen-access, ungewöhnlich große Datenabrufe oder Aktivitäten von neuen Standorten oder Anwendungen – können auf potenzielle Datenexfiltration, Richtlinienverstöße oder Missbrauch kompromittierter Anmeldeinformationen hinweisen.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Exfiltration |
| MITRE ATT&CK-Techniken: | T1567 – Exfiltration über Webdienst |
| Activity: | PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA Anomale Defensivmechanismusänderung
Beschreibung: Angreifer können Sicherheitstools deaktivieren, um eine mögliche Erkennung ihrer Tools und Aktivitäten zu vermeiden.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Azure Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Verteidigungshinterziehung |
| MITRE ATT&CK-Techniken: | T1562 – Verteidigung beeinträchtigen |
| MITRE ATT&CK-Untertechniken: | Deaktivieren oder Ändern von Tools Deaktivieren oder Ändern der Cloudfirewall |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA Anomalous Fehlgeschlagene Anmeldung
Description: Angreifer ohne vorherige Kenntnisse legitimer Anmeldeinformationen innerhalb des Systems oder der Umgebung können Kennwörter erraten, um access kontenmäßig zu versuchen.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra-Anmeldeprotokolle Windows Security Protokolle |
| MITRE ATT&CK-Taktiken: | Anmeldeinformationen Access |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
| Activity: |
Microsoft Entra ID: Anmeldeaktivität Windows Security: Fehlgeschlagene Anmeldung (Ereignis-ID 4625) |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA Anomalous Federated- oder SAML Identity Activity in AwsCloudTrail
Beschreibung: Ungewöhnliche Aktivitäten durch Verbund- oder SAML-basierte Identitäten (Security Assertion Markup Language) mit erstmaligen Aktionen, unbekannten geografischen Standorten oder übermäßigen API-Aufrufen. Solche Anomalien können auf Session Hijacking oder Missbrauch von Verbundanmeldeinformationen hinweisen.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Anfängliche Access, Persistenz |
| MITRE ATT&CK-Techniken: | T1078 - Gültige Konten, T1550 - Alternatives Authentifizierungsmaterial verwenden |
| Activity: | UserAuthentication (EXTERNAL_IDP) |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA Anomalous IAM Privilege Modification in AwsCloudTrail
Description: Abweichungen im Administrativen Verhalten der Identität und Access Verwaltung (IAM), z. B. das erstmalige Erstellen, Ändern oder Löschen von Rollen, Benutzern und Gruppen oder das Anhängen neuer Inline- oder verwalteter Richtlinien. Dies kann auf die Eskalation von Berechtigungen oder auf Richtlinienmissbrauch hinweisen.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Berechtigungseskalation, Persistenz |
| MITRE ATT&CK-Techniken: | T1136 - Konto erstellen, T1098 – Kontomanipulation |
| Activity: | Erstellen, Hinzufügen, Anfügen, Löschen, Deaktivieren, Put und Aktualisieren von Vorgängen für iam.amazonaws.com, sso-directory.amazonaws.com |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA Anomalous-Anmeldung in AwsCloudTrail
Beschreibung: Ungewöhnliche Anmeldeaktivitäten in Amazon Web Services (AWS)-Diensten basierend auf CloudTrail-Ereignissen wie ConsoleLogin und anderen Authentifizierungsattributen. Anomalien werden anhand von Abweichungen im Benutzerverhalten basierend auf Attributen wie Geolocation, Gerätefingerabdrücke, ISP und access Methode bestimmt und können auf nicht autorisierte access Versuche oder potenzielle Richtlinienverstöße hinweisen.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Anfängliche Access |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
| Activity: | ConsoleLogin |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA Anomale MFA-Fehler in Okta_CL
Beschreibung: Ungewöhnliche Muster fehlgeschlagener MFA-Versuche in Okta. Diese Anomalien können sich aus Kontomissbrauch, Credential Stuffing oder unsachgemäßer Verwendung von vertrauenswürdigen Gerätemechanismen ergeben und häufig widrige Verhaltensweisen in der frühen Phase widerspiegeln, z. B. das Testen gestohlener Anmeldeinformationen oder die Sicherheitsvorkehrungen für Identitäten.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Okta-Cloudprotokolle |
| MITRE ATT&CK-Taktiken: | Persistenz, Berechtigungseskalation |
| MITRE ATT&CK-Techniken: | T1078 - Gültige Konten, T1556 – Authentifizierungsprozess ändern |
| Activity: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA Anomale Kennwortzurücksetzung
Description: Angreifer können die Verfügbarkeit von System- und Netzwerkressourcen unterbrechen, indem sie access für Konten, die von legitimen Benutzern genutzt werden, behindern. Konten können gelöscht, gesperrt oder bearbeitet werden (z. B. geänderte Anmeldeinformationen), um access für Konten zu entfernen.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Impact |
| MITRE ATT&CK-Techniken: | T1531 - Konto Access Entfernung |
| Activity: | Kernverzeichnis/Benutzerverwaltung/Benutzerkennwortzurücksetzung |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA-Anomale Berechtigungen gewährt
Description: Angreifer können angreifergesteuerte Anmeldeinformationen für Azure Dienstprinzipale zusätzlich zu vorhandenen legitimen Anmeldeinformationen hinzufügen, um dauerhafte access für Opfer Azure Konten aufrechtzuerhalten.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra-Überwachungsprotokolle |
| MITRE ATT&CK-Taktiken: | Persistence |
| MITRE ATT&CK-Techniken: | T1098 – Kontobearbeitung |
| MITRE ATT&CK-Untertechniken: | Zusätzliche Azure Dienstprinzipalanmeldeinformationen |
| Activity: | Kontobereitstellung/Anwendungsverwaltung/App-Rollenzuweisung zum Dienstprinzipal hinzufügen |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA Anomalous Secret oder KMS Key Access in AwsCloudTrail
Description: Verdächtigen access an AWS Secrets Manager oder KMS-Ressourcen (Key Management Service). Bei der ersten access oder ungewöhnlich hohen access Häufigkeit können Anmeldeinformationen zum Ernten oder Datenexfiltrationsversuchen angezeigt werden.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Anmeldeinformationen Access, Sammlung |
| MITRE ATT&CK-Techniken: | T1555 – Anmeldeinformationen aus Kennwortspeichern |
| Activity: | GetSecretValue BatchGetSecretValue ListKeys ListSecrets PutSecretValue CreateSecret UpdateSecret DeleteSecret CreateKey PutKeyPolicy |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA-Anomale Anmeldung
Description: Angreifer können die Anmeldeinformationen eines bestimmten Benutzer- oder Dienstkontos mithilfe von Anmeldeinformationen Access Techniken stehlen oder Anmeldeinformationen früher in ihrem Aufklärungsprozess durch Social Engineering erfassen, um Persistenz zu erlangen.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | Microsoft Entra-Anmeldeprotokolle Windows Security Protokolle |
| MITRE ATT&CK-Taktiken: | Persistence |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
| Activity: |
Microsoft Entra ID: Anmeldeaktivität Windows Security: Erfolgreiche Anmeldung (Ereignis-ID 4624) |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
UEBA Anomalous STS AssumeRole Behavior in AwsCloudTrail
Description: Anomale Verwendung von AWS Security Token Service (STS) AssumeRole-Aktionen, insbesondere im Zusammenhang mit privilegierten Rollen oder kontoübergreifenden access. Abweichungen von der typischen Verwendung können auf eine Berechtigungseskalation oder Identitätskompromittierung hinweisen.
| Attribute | Value |
|---|---|
| Anomalietyp: | UEBA |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Berechtigungseskalation, Verteidigungshinterziehung |
| MITRE ATT&CK-Techniken: | T1548 - Missbrauchssteuerungsmechanismus, T1078 - Gültige Konten |
| Activity: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity AssumeRoot |
Zurück zur UEBA-Anomalieliste | Zurück zum Anfang
Machine learning-basierte Anomalien
Microsoft Sentinels anpassbare, machine learning-basierte Anomalien können anomales Verhalten mit Analyseregelvorlagen identifizieren, die sofort funktionieren können. Anomalien weisen zwar nicht zwangsläufig auf schädliches oder sogar verdächtiges Verhalten hin, können aber verwendet werden, um die Erkennungen, Untersuchungen und Bedrohungssuche zu verbessern.
- Anomale Azure Vorgänge
- Anomale Codeausführung
- Anomale lokale Kontoerstellung
- Anomale Benutzeraktivitäten in Office Exchange
- Versuchter Computer brute force
- Versuch eines Brute-Force-Benutzerkontos
- Versuchter Benutzerkonto-Brute-Force pro Anmeldetyp
- Versuchter Benutzerkonto-Brute-Force pro Fehlergrund
- Erkennen des vom Computer generierten Netzwerkbeaconsverhaltens
- Domänengenerierungsalgorithmus (DGA) für DNS-Domänen
- Übermäßige Downloads über Palo Alto GlobalProtect
- Übermäßige Uploads über Palo Alto GlobalProtect
- Potenzieller Domänengenerierungsalgorithmus (DGA) für DNS-Domänen der nächsten Ebene
- Verdächtiges Volumen von AWS-API-Aufrufen aus nicht-AWS-Quell-IP-Adresse
- Verdächtiges Volumen von AWS-API-Schreibaufrufen aus einem Benutzerkonto
- Verdächtiges Volumen von Anmeldungen auf dem Computer
- Verdächtiges Volumen von Anmeldungen am Computer mit erhöhten Token
- Verdächtiges Volumen von Anmeldungen bei Einem Benutzerkonto
- Verdächtige Anzahl von Anmeldungen bei Benutzerkonten nach Anmeldetypen
- Verdächtiges Volumen von Anmeldungen bei Einem Benutzerkonto mit erhöhten Rechten
Anomale Azure Vorgänge
Description: Dieser Erkennungsalgorithmus sammelt 21 Tage dauernde Daten zu Azure Vorgängen, die vom Benutzer gruppiert sind, um dieses ML-Modell zu trainieren. Anschließend generiert der Algorithmus Anomalien im Falle von Benutzern, die Sequenzen von Vorgängen ausgeführt haben, die in ihren Arbeitsbereichen selten vorkommen. Das trainierte ML-Modell bewertet die vom Benutzer ausgeführten Vorgänge und betrachtet Anomalien, deren Bewertung oberhalb des definierten Schwellenwerts liegt.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | Azure Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Anfängliche Access |
| MITRE ATT&CK-Techniken: | T1190 – Öffentliche Anwendung ausnutzen |
Back to Machine learning-based anomalies list | Back to top
Anomale Codeausführung
Beschreibung: Angreifer können Befehle und Skriptdolmetscher missbrauchen, um Befehle, Skripts oder Binärdateien auszuführen. Diese Schnittstellen und Sprachen bieten Möglichkeiten für die Interaktion mit Computersystemen und sind ein gemeinsames Feature vieler verschiedener Plattformen.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | Azure Aktivitätsprotokolle |
| MITRE ATT&CK-Taktiken: | Execution |
| MITRE ATT&CK-Techniken: | T1059 – Befehls- und Skript-Interpreter |
Back to Machine learning-based anomalies list | Back to top
Anomale lokale Kontoerstellung
Beschreibung: Dieser Algorithmus erkennt anomale lokale Kontoerstellung auf Windows-Systemen. Angreifer können lokale Konten erstellen, um access für gezielte Systeme aufrechtzuerhalten. Dieser Algorithmus analysiert die lokale Kontoerstellungsaktivität über die vergangenen 14 Tage nach Benutzern. Es sucht nach ähnlichen tagesaktuellen Aktivitäten von Benutzern, die zuvor nicht in den Verlaufsaktivitäten aufgefallen sind. Sie können eine Zulassungsliste festlegen, um bekannte Benutzer herauszufiltern, damit diese Anomalie nicht ausgelöst wird.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | Windows Security Protokolle |
| MITRE ATT&CK-Taktiken: | Persistence |
| MITRE ATT&CK-Techniken: | T1136 – Konto erstellen |
Back to Machine learning-based anomalies list | Back to top
Anomale Benutzeraktivitäten in Office Exchange
Description: Dieses machine learning Modell gruppiert die Office-Exchange-Protokolle pro Benutzer in Stündliche Buckets. Eine Stunde wird als Sitzung definiert. Das Modell wird anhand des Verhaltens der vorangegangenen 7 Tage für alle regulären (Nicht-Administrator-)Benutzer trainiert. Es gibt anomale Benutzer-Office Exchange Sitzungen am letzten Tag an.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | Office-Aktivitätsprotokoll (Exchange) |
| MITRE ATT&CK-Taktiken: | Persistence Collection |
| MITRE ATT&CK-Techniken: |
Collection: T1114 – E-Mail-Sammlung T1213 - Daten aus Informationsrepositorys Persistence: T1098 – Kontobearbeitung T1136 – Konto erstellen T1137 – Office-Anwendungsstart T1505 – Serversoftwarekomponente |
Back to Machine learning-based anomalies list | Back to top
Versuchter Computer Brute-Force
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen fehlgeschlagener Anmeldeversuche (Sicherheitsereignis-ID 4625) pro Computer am letzten Tag. Das Modell wird an den vorherigen 21 Tagen Windows security Ereignisprotokollen trainiert.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | Windows Security Protokolle |
| MITRE ATT&CK-Taktiken: | Anmeldeinformationen Access |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
Back to Machine learning-based anomalies list | Back to top
Versuchter Benutzerkonto-Brute-Force
Beschreibung: Dieser Algorithmus erkennt eine ungewöhnlich hohe Anzahl fehlgeschlagener Anmeldeversuche (Sicherheitsereignis-ID 4625) pro Benutzerkonto am letzten Tag. Das Modell wird an den vorherigen 21 Tagen Windows security Ereignisprotokollen trainiert.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | Windows Security Protokolle |
| MITRE ATT&CK-Taktiken: | Anmeldeinformationen Access |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
Back to Machine learning-based anomalies list | Back to top
Versuchter Benutzerkonto-Brute-Force je Anmeldetyp
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen fehlgeschlagener Anmeldeversuche (Sicherheitsereignis-ID 4625) pro Benutzerkonto pro Anmeldetyp am letzten Tag. Das Modell wird an den vorherigen 21 Tagen Windows security Ereignisprotokollen trainiert.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | Windows Security Protokolle |
| MITRE ATT&CK-Taktiken: | Anmeldeinformationen Access |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
Back to Machine learning-based anomalies list | Back to top
Versuchter Benutzerkonto-Brute-Force je Fehlergrund
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von fehlgeschlagenen Anmeldeversuchen (Sicherheitsereignis-ID 4625) pro Benutzerkonto pro Fehlergrund im letzten Tag. Das Modell wird an den vorherigen 21 Tagen Windows security Ereignisprotokollen trainiert.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | Windows Security Protokolle |
| MITRE ATT&CK-Taktiken: | Anmeldeinformationen Access |
| MITRE ATT&CK-Techniken: | T1110 – Brute Force |
Back to Machine learning-based anomalies list | Back to top
Computergeneriertes Netzwerk-Beaconing-Verhalten erkennen
Beschreibung: Dieser Algorithmus identifiziert Beaconing-Muster aus Netzwerkdatenverkehrsverbindungsprotokollen basierend auf wiederkehrenden Delta-Mustern. Jede Netzwerkverbindung zu nicht vertrauenswürdigen öffentlichen Netzwerken bei wiederholten Deltas ist ein Hinweis auf Malware-Rückrufe oder Datenexfiltrationsversuche. Der Algorithmus berechnet das Zeitdelta zwischen aufeinander folgenden Netzwerkverbindungen zwischen derselben Quell-IP und Ziel-IP sowie die Anzahl der Verbindungen in einer Zeit-Delta-Sequenz zwischen denselben Quellen und Zielen. Der Beaconing-Prozentsatz wird in Form der Verbindungen in der Zeit-Delta-Sequenz mit Gesamtverbindungen in einem Tag berechnet.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | CommonSecurityLog (PAN) |
| MITRE ATT&CK-Taktiken: | Command-and-Control |
| MITRE ATT&CK-Techniken: | T1071 – Anwendungsebenenprotokoll T1132 – Datencodierung T1001 – Datenverschleierung T1568 – Dynamische Auflösung T1573 – Verschlüsselter Kanal T1008 – Fallbackkanäle T1104 – Mehrstufige Kanäle T1095 – Nicht-Anwendungsebenenprotokoll T1571 – Nicht standardmäßiger Port T1572 – Protokolltunnelung T1090 – Proxy T1205 – Datenverkehrssignalisierung T1102 – Webdienst |
Back to Machine learning-based anomalies list | Back to top
Domänengenerierungsalgorithmus (DGA) für DNS-Domänen
Description: Dieses machine learning Modell gibt potenzielle DGA-Domänen aus dem letzten Tag in den DNS-Protokollen an. Der Algorithmus gilt für DNS-Datensätze, die zu IPv4- und IPv6-Adressen aufgelöst werden.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | DNS-Ereignisse |
| MITRE ATT&CK-Taktiken: | Command-and-Control |
| MITRE ATT&CK-Techniken: | T1568 – Dynamische Auflösung |
Back to Machine learning-based anomalies list | Back to top
Übermäßige Downloads über Palo Alto GlobalProtect
Beschreibung: Dieser Algorithmus erkennt ungewöhnlich hohe Downloadmenge pro Benutzerkonto über die Palo Alto VPN-Lösung. Das Modell wird an den den VPN-Protokollen vorangegangenen 14 Tagen trainiert. Es weist auf ein anomal hohes Volumen an Downloads am letzten Tag hin.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-Taktiken: | Exfiltration |
| MITRE ATT&CK-Techniken: | T1030 – Grenzwerte für die Datenübertragungsgröße T1041 – Exfiltration über C2-Kanal T1011 – Exfiltration über anderes Netzwerkmedium T1567 – Exfiltration über Webdienst T1029 – Geplante Übertragung T1537 – Daten an Cloudkonto übertragen |
Back to Machine learning-based anomalies list | Back to top
Übermäßige Uploads über Palo Alto GlobalProtect
Beschreibung: Dieser Algorithmus erkennt ungewöhnlich hohe Uploadmenge pro Benutzerkonto über die Palo Alto VPN-Lösung. Das Modell wird an den den VPN-Protokollen vorangegangenen 14 Tagen trainiert. Es weist auf ein anomal hohes Volumen an Uploads am letzten Tag hin.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK-Taktiken: | Exfiltration |
| MITRE ATT&CK-Techniken: | T1030 – Grenzwerte für die Datenübertragungsgröße T1041 – Exfiltration über C2-Kanal T1011 – Exfiltration über anderes Netzwerkmedium T1567 – Exfiltration über Webdienst T1029 – Geplante Übertragung T1537 – Daten an Cloudkonto übertragen |
Back to Machine learning-based anomalies list | Back to top
Potenzieller Domänengenerierungsalgorithmus (DGA) auf DNS-Domänen der nächsten Ebene
Description: Dieses machine learning Modell gibt die Domänen der nächsten Ebene (dritte Ebene und aufwärts) der Domänennamen aus dem letzten Tag der DNS-Protokolle an, die ungewöhnlich sind. Sie könnten möglicherweise die Ausgabe eines Domänengenerierungsalgorithmus (DGA) sein. Die Anomalie gilt für die DNS-Datensätze, die zu IPv4- und IPv6-Adressen aufgelöst werden.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | DNS-Ereignisse |
| MITRE ATT&CK-Taktiken: | Command-and-Control |
| MITRE ATT&CK-Techniken: | T1568 – Dynamische Auflösung |
Back to Machine learning-based anomalies list | Back to top
Verdächtiges Volumen von AWS-API-Aufrufen von Nicht-AWS-Quell-IP-Adressen
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von AWS-API-Aufrufen pro Benutzerkonto pro Arbeitsbereich, von Quell-IP-Adressen außerhalb der QUELL-IP-Bereiche von AWS innerhalb des letzten Tages. Das Modell wird in den vorangegangenen 21 Tagen vor den AWS CloudTrail-Protokollereignissen nach Quell-IP-Adresse trainiert. Diese Aktivität kann darauf hinweisen, dass das Benutzerkonto kompromittiert ist.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Anfängliche Access |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Back to Machine learning-based anomalies list | Back to top
Verdächtiges Volumen von AWS-Schreib-API-Aufrufen von einem Benutzerkonto
Beschreibung: Dieser Algorithmus erkennt innerhalb des letzten Tages ein ungewöhnlich hohes Volumen von AWS-Schreib-API-Aufrufen pro Benutzerkonto. Das Modell wird in den vorangegangenen 21 Tagen vor den AWS CloudTrail-Protokollereignissen nach Benutzerkonto trainiert. Diese Aktivität kann darauf hinweisen, dass das Konto kompromittiert ist.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | AWS CloudTrail-Protokolle |
| MITRE ATT&CK-Taktiken: | Anfängliche Access |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Back to Machine learning-based anomalies list | Back to top
Verdächtiges Volumen von Anmeldungen auf dem Computer
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen erfolgreicher Anmeldungen (Sicherheitsereignis-ID 4624) pro Computer am letzten Tag. Das Modell wird an den vorherigen 21 Tagen Windows Security Ereignisprotokollen trainiert.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | Windows Security Protokolle |
| MITRE ATT&CK-Taktiken: | Anfängliche Access |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Back to Machine learning-based anomalies list | Back to top
Verdächtiges Volumen von Anmeldungen am Computer mit Token mit erweiterten Rechten
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen erfolgreicher Anmeldungen (Sicherheitsereignis-ID 4624) mit Administratorrechten pro Computer über den letzten Tag. Das Modell wird an den vorherigen 21 Tagen Windows Security Ereignisprotokollen trainiert.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | Windows Security Protokolle |
| MITRE ATT&CK-Taktiken: | Anfängliche Access |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Back to Machine learning-based anomalies list | Back to top
Verdächtiges Volumen von Anmeldungen bei Benutzerkonto
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen erfolgreicher Anmeldungen (Sicherheitsereignis-ID 4624) pro Benutzerkonto am letzten Tag. Das Modell wird an den vorherigen 21 Tagen Windows Security Ereignisprotokollen trainiert.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | Windows Security Protokolle |
| MITRE ATT&CK-Taktiken: | Anfängliche Access |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Back to Machine learning-based anomalies list | Back to top
Verdächtiges Volumen von Anmeldungen beim Benutzerkonto nach Anmeldetypen
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von erfolgreichen Anmeldungen (Sicherheitsereignis-ID 4624) pro Benutzerkonto, durch verschiedene Anmeldetypen, während des letzten Tages. Das Modell wird an den vorherigen 21 Tagen Windows Security Ereignisprotokollen trainiert.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | Windows Security Protokolle |
| MITRE ATT&CK-Taktiken: | Anfängliche Access |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Back to Machine learning-based anomalies list | Back to top
Verdächtiges Volumen von Anmeldungen beim Benutzerkonto mit Token mit erweiterten Rechten
Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen erfolgreicher Anmeldungen (Sicherheitsereignis-ID 4624) mit Administratorrechten pro Benutzerkonto am letzten Tag. Das Modell wird an den vorherigen 21 Tagen Windows Security Ereignisprotokollen trainiert.
| Attribute | Value |
|---|---|
| Anomalietyp: | Anpassbare machine learning |
| Datenquellen: | Windows Security Protokolle |
| MITRE ATT&CK-Taktiken: | Anfängliche Access |
| MITRE ATT&CK-Techniken: | T1078 – Gültige Konten |
Back to Machine learning-based anomalies list | Back to top
Nächste Schritte
- Erfahren Sie mehr über machine learning-generierte Anomalien in Microsoft Sentinel.
- Erfahren Sie, wie Sie mit Anomalieregeln arbeiten.
- Untersuchen sie Vorfälle mit Microsoft Sentinel.