Anomalías detectadas por el motor de machine learning de Microsoft Sentinel

Microsoft Sentinel detecta anomalías mediante el análisis del comportamiento de los usuarios en un entorno durante un período de tiempo y la construcción de una línea base de actividad legítima. Una vez establecida la línea base, cualquier actividad fuera de los parámetros normales se considera anómala y, por tanto, sospechosa.

Microsoft Sentinel usa dos modelos para crear líneas base y detectar anomalías.

• Anomalías de UEBA
• anomalías basadas en Machine learning

En este artículo se enumeran las anomalías que Microsoft Sentinel detecta mediante varios modelos de machine learning.

En la tabla Anomalies:

• La rulename columna indica la regla Sentinel que se usa para identificar cada anomalía.
• La score columna contiene un valor numérico entre 0 y 1, que cuantifica el grado de desviación del comportamiento esperado. Las puntuaciones más altas indican una mayor desviación de la línea base y son más probables que sean anomalías verdaderas. Las puntuaciones más bajas pueden seguir siendo anómalas, pero es menos probable que sean significativas o accionables.

Comparación de las anomalías basadas en UEBA y machine learning

Las anomalías -based ueBA y machine learning (ML) son enfoques complementarios para la detección de anomalías. Ambos rellenan la Anomalies tabla, pero sirven para distintos propósitos:

Para obtener más información, consulte:

• Introducción a UEBA
• Reglas de detección de anomalías de ML personalizables

Anomalías de UEBA

Sentinel UEBA detecta anomalías basadas en líneas base dinámicas creadas para cada entidad en distintas entradas de datos. El comportamiento de la línea de base de cada entidad se establece según sus propias actividades históricas, las de sus nodos del mismo nivel y las de la organización en su conjunto. Las anomalías se pueden desencadenar mediante la correlación de diferentes atributos, como el tipo de acción, la ubicación geográfica, el dispositivo, el recurso, el ISP, etc.

Debe habilitar UEBA y la detección de anomalías en el área de trabajo de Sentinel para detectar anomalías de UEBA.

UEBA detecta anomalías basadas en estas reglas de anomalías:

• UEBA Anomalous Account Access Removal
• Creación de cuentas anómalas de UEBA
• Eliminación anómala de la cuenta UEBA
• Manipulación anómala de cuentas UEBA
• Actividad anómala de UEBA en los registros de auditoría de GCP
• Actividad anómala de UEBA en Okta_CL
• Autenticación anómala de UEBA
• Ejecución de código anómalo de UEBA
• Destrucción anómala de datos UEBA
• Transferencia de datos anómalos de UEBA desde Amazon S3
• Modificación anómala del mecanismo defensivo UEBA
• Inicio de sesión anómalo de UEBA
• Actividad anómala de identidad federada o SAML de UEBA en AwsCloudTrail
• Modificación anómala de privilegios de IAM de UEBA en AwsCloudTrail
• Inicio de sesión anómalo de UEBA en AwsCloudTrail
• Errores anómalos de MFA de UEBA en Okta_CL
• Restablecimiento de contraseña anómalo de UEBA
• Privilegio anómalo de UEBA concedido
• UEBA Secreto anómalo o clave KMS Access en AwsCloudTrail
• Inicio de sesión anómalo de UEBA
• Comportamiento anómalo de STS de UEBA en AwsCloudTrail

Sentinel usa datos enriquecidos de la tabla BehaviorAnalytics para identificar anomalías de UEBA con una puntuación de confianza específica del inquilino y el origen.

Eliminación anómala de la cuenta UEBA Access

Description: Un atacante puede interrumpir la disponibilidad de los recursos de red y del sistema bloqueando access a las cuentas que usan los usuarios legítimos. El atacante podría eliminar, bloquear o manipular una cuenta (por ejemplo, cambiando sus credenciales) para quitar access a ella.

Volver a la lista | de anomalías de UEBAVolver a arriba

Creación de cuentas anómalas de UEBA

Description: Los adversarios pueden crear una cuenta para mantener access a los sistemas de destino. Con un nivel suficiente de access, la creación de estas cuentas se puede usar para establecer credenciales secundarias access sin necesidad de implementar herramientas de access remotas persistentes en el sistema.

Volver a la lista | de anomalías de UEBAVolver a arriba

Eliminación anómala de la cuenta UEBA

Description: Los adversarios pueden interrumpir la disponibilidad de los recursos de red y del sistema al impedir access a las cuentas utilizadas por los usuarios legítimos. Las cuentas se pueden eliminar, bloquear o manipular (por ejemplo: credenciales modificadas) para quitar access a las cuentas.

Volver a la lista | de anomalías de UEBAVolver a arriba

Manipulación anómala de cuentas UEBA

Description: Los adversarios pueden manipular cuentas para mantener access a los sistemas de destino. Estas acciones incluyen agregar nuevas cuentas a grupos con privilegios elevados. Dragonfly 2.0, por ejemplo, se agregaron cuentas recién creadas al grupo de administradores para mantener access elevados. La consulta siguiente genera una salida de todos los usuarios de High-Blast Radius que realizan "Actualizar usuario" (cambio de nombre) al rol con privilegios o a los que cambiaron los usuarios por primera vez.

Volver a la lista | de anomalías de UEBAVolver a arriba

Actividad anómala de UEBA en los registros de auditoría de GCP

Description: Error access intentos de recursos de Google Cloud Platform (GCP) en función de entradas relacionadas con IAM en los registros de auditoría de GCP. Estos errores pueden reflejar permisos mal configurados, intentos de access servicios no autorizados o comportamientos de atacantes en fase temprana, como sondeos de privilegios o persistencia a través de cuentas de servicio.

Volver a la lista | de anomalías de UEBAVolver a arriba

Actividad anómala de UEBA en Okta_CL

Descripción: Cambios inesperados en la actividad de autenticación o en la configuración relacionada con la seguridad en Okta, incluidas las modificaciones en las reglas de inicio de sesión, el cumplimiento de la autenticación multifactor (MFA) o los privilegios administrativos. Esta actividad podría indicar intentos de modificar controles de seguridad de identidad o mantener access a través de cambios con privilegios.

Volver a la lista | de anomalías de UEBAVolver a arriba

Autenticación anómala de UEBA

Description: actividad de autenticación inusual entre señales de Microsoft Defender for Endpoint y Microsoft Entra ID, incluidos inicios de sesión de dispositivo, inicios de sesión de identidad administrada y autenticaciones de entidad de servicio de Microsoft Entra ID. Estas anomalías pueden sugerir un uso indebido de credenciales, un abuso de identidad no humano o intentos de movimiento lateral fuera de patrones típicos de access.

Volver a la lista | de anomalías de UEBAVolver a arriba

Ejecución de código anómalo de UEBA

Descripción: Los adversarios pueden abusar de los intérpretes de comandos y scripts para ejecutar comandos, scripts o archivos binarios. Estas interfaces y lenguajes proporcionan formas de interactuar con sistemas informáticos y son una característica común en muchas plataformas diferentes.

Volver a la lista | de anomalías de UEBAVolver a arriba

Destrucción anómala de datos UEBA

Descripción: Los adversarios pueden destruir datos y archivos en sistemas específicos o en grandes números en una red para interrumpir la disponibilidad de sistemas, servicios y recursos de red. Es probable que la destrucción de datos represente los datos almacenados irrecuperables por técnicas forenses mediante la sobrescritura de archivos o datos en unidades locales y remotas.

Volver a la lista | de anomalías de UEBAVolver a arriba

Transferencia de datos anómalos de UEBA desde Amazon S3

Description: Desviaciones de datos access o descarga de patrones de Amazon Simple Storage Service (S3). La anomalía se determina mediante líneas base de comportamiento para cada usuario, servicio y recurso, comparando el volumen de transferencia de datos, la frecuencia y el recuento de objetos a los que se accede con respecto a las normas históricas. Las desviaciones significativas, como el access masivo por primera vez, las recuperaciones de datos inusualmente grandes o la actividad de nuevas ubicaciones o aplicaciones, podrían indicar posibles filtraciones de datos, infracciones de directivas o uso incorrecto de las credenciales en peligro.

Volver a la lista | de anomalías de UEBAVolver a arriba

Modificación anómala del mecanismo defensivo UEBA

Descripción: Los adversarios pueden deshabilitar las herramientas de seguridad para evitar la posible detección de sus herramientas y actividades.

Volver a la lista | de anomalías de UEBAVolver a arriba

Inicio de sesión anómalo de UEBA

Description: Adversarios sin conocimiento previo de credenciales legítimas en el sistema o entorno pueden adivinar las contraseñas para intentar access a las cuentas.

Volver a la lista | de anomalías de UEBAVolver a arriba

Actividad anómala de identidad federada o SAML de UEBA en AwsCloudTrail

Descripción: Actividad inusual por identidades federadas o basadas en lenguaje de marcado de aserción de seguridad (SAML) que implican acciones por primera vez, ubicaciones geográficas desconocidas o llamadas API excesivas. Estas anomalías pueden indicar el secuestro de sesión o el uso indebido de credenciales federadas.

Volver a la lista | de anomalías de UEBAVolver a arriba

Modificación anómala de privilegios de IAM de UEBA en AwsCloudTrail

Description: Desviaciones en el comportamiento administrativo de administración de identidades y Access (IAM), como la creación, modificación o eliminación de roles, usuarios y grupos, o datos adjuntos de nuevas directivas insertadas o administradas. Estos podrían indicar la elevación de privilegios o el abuso de directivas.

Volver a la lista | de anomalías de UEBAVolver a arriba

Inicio de sesión anómalo de UEBA en AwsCloudTrail

Descripción: Actividad de inicio de sesión inusual en los servicios de Amazon Web Services (AWS) basados en eventos de CloudTrail, como ConsoleLogin y otros atributos relacionados con la autenticación. Las anomalías se determinan mediante desviaciones en el comportamiento del usuario en función de atributos como la geolocalización, la huella digital del dispositivo, el ISP y el método access, y pueden indicar intentos no autorizados access o posibles infracciones de directivas.

Volver a la lista | de anomalías de UEBAVolver a arriba

Errores anómalos de MFA de UEBA en Okta_CL

Descripción: Patrones inusuales de intentos de MFA erróneos en Okta. Estas anomalías pueden deberse a un uso incorrecto de la cuenta, el relleno de credenciales o el uso incorrecto de mecanismos de dispositivo de confianza, y a menudo reflejan comportamientos de adversario en fase temprana, como probar credenciales robadas o medidas de seguridad de identidad de sondeo.

Volver a la lista | de anomalías de UEBAVolver a arriba

Restablecimiento de contraseña anómalo de UEBA

Description: Los adversarios pueden interrumpir la disponibilidad de los recursos de red y del sistema al impedir access a las cuentas utilizadas por los usuarios legítimos. Las cuentas se pueden eliminar, bloquear o manipular (por ejemplo: credenciales modificadas) para quitar access a las cuentas.

Volver a la lista | de anomalías de UEBAVolver a arriba

Privilegio anómalo de UEBA concedido

Description: Los adversarios pueden agregar credenciales controladas por adversarios para Azure entidades de servicio además de credenciales legítimas existentes para mantener access persistentes en las cuentas de Azure víctimas.

Volver a la lista | de anomalías de UEBAVolver a arriba

Secreto anómalo de UEBA o clave KMS Access en AwsCloudTrail

Description: recursos de access sospechosos a AWS Secrets Manager o servicio de administración de claves (KMS). La primera vez access o una frecuencia de access inusualmente alta podría indicar intentos de recolección de credenciales o filtración de datos.

Volver a la lista | de anomalías de UEBAVolver a arriba

Inicio de sesión anómalo de UEBA

Description: Los adversarios pueden robar las credenciales de una cuenta de usuario o servicio específica mediante técnicas de credenciales Access o capturar credenciales anteriormente en su proceso de reconocimiento mediante ingeniería social para obtener persistencia.

Volver a la lista | de anomalías de UEBAVolver a arriba

Comportamiento anómalo de STS de UEBA en AwsCloudTrail

Description: uso anómalo del servicio de token de seguridad (STS) de AWS, especialmente la implicación de roles con privilegios o access entre cuentas. Las desviaciones del uso típico pueden indicar la elevación de privilegios o el riesgo de identidad.

Volver a la lista | de anomalías de UEBAVolver a arriba

anomalías basadas en Machine learning

Las anomalías personalizadas y basadas en machine learning de Microsoft Sentinel pueden identificar un comportamiento anómalo con plantillas de reglas de análisis que se pueden poner a trabajar de forma inmediata. Aunque las anomalías no indican necesariamente un comportamiento malintencionado o incluso sospechoso por sí mismas, se pueden usar para mejorar las detecciones, las investigaciones y la búsqueda de amenazas.

• Operaciones de Anomalous Azure
• Ejecución anómala de código
• Creación anómala de cuentas locales
• Actividades de usuarioanomalous en Office Exchange
• Intento de fuerza bruta de equipo
• Intento de fuerza bruta de la cuenta de usuario
• Intento de fuerza bruta de la cuenta de usuario por tipo de inicio de sesión
• Intento de fuerza bruta de la cuenta de usuario por motivo del error
• Detección del comportamiento de señalización de red generado por la máquina
• Algoritmo de generación de dominio (DGA) en dominios DNS
• Descargas excesivas a través de Palo Alto GlobalProtect
• Cargas excesivas a través de Palo Alto GlobalProtect
• Posible algoritmo de generación de dominios (DGA) en dominios DNS de nivel siguiente
• Volumen sospechoso de llamadas api de AWS desde la dirección IP de origen que no es de AWS
• Volumen sospechoso de llamadas API de escritura de AWS desde una cuenta de usuario
• Volumen sospechoso de inicios de sesión en el equipo
• Volumen sospechoso de inicios de sesión en el equipo con token con privilegios elevados
• Volumen sospechoso de inicios de sesión en la cuenta de usuario
• Volumen sospechoso de inicios de sesión en la cuenta de usuario por tipos de inicio de sesión
• Volumen sospechoso de inicios de sesión en la cuenta de usuario con token con privilegios elevados

Operaciones anómalas de Azure

Description: Este algoritmo de detección recopila datos de 21 días en operaciones de Azure agrupadas por el usuario para entrenar este modelo de MACHINE. A continuación, el algoritmo genera anomalías en el caso de los usuarios que realizaron secuencias de operaciones poco frecuentes en sus áreas de trabajo. El modelo de ML entrenado puntúa las operaciones realizadas por el usuario y considera anómalas aquellas cuya puntuación es mayor que el umbral definido.

Back to Machine learning-based anomalies list | Back to top

Ejecución anómala de código

Descripción: Los atacantes pueden abusar de los intérpretes de comandos y scripts para ejecutar comandos, scripts o archivos binarios. Estas interfaces y lenguajes proporcionan formas de interactuar con sistemas informáticos y son una característica común en muchas plataformas diferentes.

Back to Machine learning-based anomalies list | Back to top

Creación de cuentas locales anómalas

Descripción: Este algoritmo detecta la creación anómala de cuentas locales en sistemas Windows. Los atacantes pueden crear cuentas locales para mantener access a los sistemas de destino. Este algoritmo analiza la actividad de creación de cuentas locales en los últimos 14 días por parte de los usuarios. Busca una actividad similar en el día actual de los usuarios que no se han visto anteriormente en la actividad histórica. Puede especificar una lista de permitidos para filtrar los usuarios conocidos para desencadenar esta anomalía.

Back to Machine learning-based anomalies list | Back to top

Actividades anómalas de usuario en Office Exchange

Description: Este modelo de machine learning agrupa los registros de Office Exchange por usuario en cubos por hora. Definimos una hora como una sesión. El modelo se entrena en los 7 días anteriores del comportamiento en todos los usuarios normales (no administradores). Indica sesiones anómalas de Office Exchange usuario en el último día.

Back to Machine learning-based anomalies list | Back to top

Intento de fuerza bruta de equipo

Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (identificador de evento de seguridad 4625) por equipo durante el último día. El modelo se entrena en los 21 días anteriores de Windows security registros de eventos.

Back to Machine learning-based anomalies list | Back to top

Intento de fuerza bruta de la cuenta de usuario

Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (identificador de evento de seguridad 4625) por cuenta de usuario durante el último día. El modelo se entrena en los 21 días anteriores de Windows security registros de eventos.

Back to Machine learning-based anomalies list | Back to top

Intento de fuerza bruta de cuenta de usuario por tipo de inicio de sesión

Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (identificador de evento de seguridad 4625) por cuenta de usuario por tipo de inicio de sesión durante el último día. El modelo se entrena en los 21 días anteriores de Windows security registros de eventos.

Back to Machine learning-based anomalies list | Back to top

Intento de fuerza bruta de la cuenta de usuario por motivo del error

Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (identificador de evento de seguridad 4625) por cuenta de usuario por motivo de error durante el último día. El modelo se entrena en los 21 días anteriores de Windows security registros de eventos.

Back to Machine learning-based anomalies list | Back to top

Detección del comportamiento de señalización de red generado por la máquina

Descripción: Este algoritmo identifica los patrones de señalización de los registros de conexión de tráfico de red en función de los patrones delta de tiempo recurrentes. Cualquier conexión de red hacia redes públicas que no son de confianza en intervalos de tiempo repetitivos es una indicación de devoluciones de llamada de malware o intentos de filtración de datos. El algoritmo calculará la diferencia de tiempo entre las conexiones de red consecutivas entre la misma dirección IP de origen y la IP de destino, así como el número de conexiones en una secuencia delta de tiempo entre los mismos orígenes y destinos. El porcentaje de balizas se calcula como las conexiones en la secuencia delta de tiempo con respecto al total de conexiones en un día.

Back to Machine learning-based anomalies list | Back to top

Algoritmo de generación de dominio (DGA) en dominios DNS

Description: Este modelo de machine learning indica dominios DGA potenciales del último día en los registros DNS. El algoritmo se aplica a los registros DNS que se resuelven en direcciones IPv4 e IPv6.

Back to Machine learning-based anomalies list | Back to top

Descargas excesivas a través de Palo Alto GlobalProtect

Descripción: Este algoritmo detecta un volumen inusualmente elevado de descarga por cuenta de usuario a través de la solución VPN de Palo Alto. El modelo se entrena en los 14 días anteriores de los registros de VPN. Indica un gran volumen anómalo de descargas en el pasado día.

Back to Machine learning-based anomalies list | Back to top

Descargas excesivas a través de Palo Alto GlobalProtect

Descripción: Este algoritmo detecta un volumen inusualmente elevado de carga por cuenta de usuario a través de la solución VPN de Palo Alto. El modelo se entrena en los 14 días anteriores de los registros de VPN. Indica un gran volumen anómalo de carga en el último día.

Back to Machine learning-based anomalies list | Back to top

Posible algoritmo de generación de dominios (DGA) en dominios DNS de siguiente nivel

Description: Este modelo de machine learning indica los dominios de nivel siguiente (tercer nivel y superior) de los nombres de dominio del último día de los registros DNS que son inusuales. Podrían ser la salida de un algoritmo de generación de dominio (DGA). La anomalía se aplica a los registros DNS que se resuelven en direcciones IPv4 e IPv6.

Back to Machine learning-based anomalies list | Back to top

Volumen sospechoso de llamadas API de AWS desde la dirección IP de origen que no es de AWS

Descripción: Este algoritmo detecta un volumen inusualmente alto de llamadas api de AWS por cuenta de usuario por área de trabajo, desde direcciones IP de origen fuera de los intervalos IP de origen de AWS, dentro del último día. El modelo se entrena en los 21 días previos de los eventos de registro de AWS CloudTrail por dirección IP de origen. Esta actividad puede indicar que la cuenta de usuario está en peligro.

Back to Machine learning-based anomalies list | Back to top

Volumen sospechoso de llamadas API de escritura de AWS desde una cuenta de usuario

Descripción: Este algoritmo detecta un volumen inusualmente alto de llamadas API de escritura de AWS por cuenta de usuario en el último día. El modelo se entrena en los 21 días previos al eventos de registro de AWS CloudTrail por cuenta de usuario. Esta actividad puede indicar que la cuenta está en peligro.

Back to Machine learning-based anomalies list | Back to top

Volumen sospechoso de inicios de sesión en el equipo

Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) por equipo durante el último día. El modelo se entrena en los 21 días anteriores de Windows Security registros de eventos.

Back to Machine learning-based anomalies list | Back to top

Volumen sospechoso de inicios de sesión en el equipo con un token con privilegios elevados

Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) con privilegios administrativos, por equipo, durante el último día. El modelo se entrena en los 21 días anteriores de Windows Security registros de eventos.

Back to Machine learning-based anomalies list | Back to top

Volumen sospechoso de inicios de sesión en la cuenta de usuario

Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) por cuenta de usuario durante el último día. El modelo se entrena en los 21 días anteriores de Windows Security registros de eventos.

Back to Machine learning-based anomalies list | Back to top

Volumen sospechoso de inicios de sesión en la cuenta de usuario por tipos de inicio de sesión

Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) por cuenta de usuario, por diferentes tipos de inicio de sesión, durante el último día. El modelo se entrena en los 21 días anteriores de Windows Security registros de eventos.

Back to Machine learning-based anomalies list | Back to top

Volumen sospechoso de inicios de sesión en una cuenta de usuario con un token con privilegios elevados

Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) con privilegios administrativos, por cuenta de usuario, durante el último día. El modelo se entrena en los 21 días anteriores de Windows Security registros de eventos.

Back to Machine learning-based anomalies list | Back to top

Pasos siguientes

• Obtenga información sobre machine learning las anomalías generadas en Microsoft Sentinel.
• Aprenda a trabajar con reglas de anomalías.
• Investigue incidentes con Microsoft Sentinel.