Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Sentinel rileva le anomalie analizzando il comportamento degli utenti in un ambiente in un periodo di tempo e creando una baseline di attività legittima. Una volta stabilita la baseline, qualsiasi attività al di fuori dei parametri normali viene considerata anomale e pertanto sospetta.
Microsoft Sentinel usa due modelli per creare linee di base e rilevare anomalie.
- Anomalie UEBA
- anomalie basate su Machine learning
Questo articolo elenca le anomalie rilevate da Microsoft Sentinel usando vari modelli di machine learning.
Nella tabella Anomalies:
- La
rulenamecolonna indica la regola usata da Sentinel per identificare ogni anomalia. - La
scorecolonna contiene un valore numerico compreso tra 0 e 1, che quantifica il grado di deviazione dal comportamento previsto. I punteggi più alti indicano una deviazione maggiore dalla linea di base e sono più probabili anomalie vere. I punteggi inferiori potrebbero essere ancora anomali, ma sono meno probabili essere significativi o interattivi.
Note
Questi rilevamenti anomalie vengono sospesi a partire dall'8 marzo 2026, a causa di una bassa qualità dei risultati:
- Algoritmo di generazione del dominio (DGA) nei domini DNS
- Potenziale algoritmo di generazione di domini (DGA) nei domini DNS di livello successivo
Confrontare le anomalie basate su UEBA e machine learning
UEBA e machine learning (ML) -based anomalie sono approcci complementari al rilevamento anomalie. Entrambe popolano la Anomalies tabella ma servono scopi diversi:
| Aspetto | Anomalie UEBA | Regole di rilevamento anomalie di Machine Learning |
|---|---|---|
| Raccolta | Chi si comporta insolitamente | Quale attività è insolita |
| Approccio di rilevamento | Baseline comportamentali incentrate sulle entità confrontate con attività cronologiche, comportamenti peer e modelli a livello di organizzazione | Modelli di regole personalizzabili che usano modelli statistici e ml sottoposti a training su modelli di dati specifici |
| Origine di base | Cronologia, gruppo di peer e organizzazione di ogni entità | Periodo di training (in genere 7-21 giorni) su tipi di evento specifici |
| Personalizzazione | Abilitato/disabilitato tramite le impostazioni UEBA | Soglie e parametri ottimizzabili usando l'interfaccia utente della regola di analisi |
| Examples | Accesso anomalo, creazione di account anomali, modifica dei privilegi anomali | Tentativo di forza bruta, download eccessivi, beaconing di rete |
Per altre informazioni, vedere:
Anomalie UEBA
UeBA di Sentinel rileva le anomalie in base alle baseline dinamiche create per ogni entità in diversi input di dati. Il comportamento di base di ogni entità viene impostato in base alle proprie attività cronologiche, a quelle dei peer e a quelle dell'intera organizzazione. Le anomalie possono essere attivate dalla correlazione di attributi diversi, ad esempio tipo di azione, posizione geografica, dispositivo, risorsa, ISP e altro ancora.
È necessario abilitare UEBA e il rilevamento anomalie nell'area di lavoro di Sentinel per rilevare le anomalie UEBA.
UEBA rileva anomalie in base a queste regole di anomalie:
- UEBA Rimozione Access account anomalo
- Creazione di account anomali UEBA
- Eliminazione di un account anomala UEBA
- Modifica dell'account anomala UEBA
- Attività anomala UEBA nei log di controllo GCP
- Attività anomala UEBA in Okta_CL
- Autenticazione anomala UEBA
- Esecuzione di codice anomala UEBA
- Distruzione di dati anomali UEBA
- Trasferimento anomalo dei dati UEBA da Amazon S3
- Modifica del meccanismo difensivo anomalo UEBA
- Accesso anomalo UEBA non riuscito
- Attività di identità FEDERATa o SAML anomala UEBA in AwsCloudTrail
- Modifica dei privilegi IAM anomali di UEBA in AwsCloudTrail
- Accesso anomalo UEBA in AwsCloudTrail
- Errori di autenticazione a più fattori anomali ueBA in Okta_CL
- Reimpostazione della password anomala UEBA
- Privilegi anomali UEBA concessi
- UEBA Segreto anomalo o chiave del Servizio di gestione delle chiavi Access in AwsCloudTrail
- Accesso anomalo UEBA
- Comportamento del ruolo assumerole anomalo di UEBA NEL servizio token di sicurezza di Azure in AwsCloudTrail
Sentinel usa dati arricchiti dalla tabella BehaviorAnalytics per identificare le anomalie UEBA con un punteggio di attendibilità specifico per il tenant e l'origine.
Rimozione di Access account anomalo UEBA
Description: Un utente malintenzionato può interrompere la disponibilità delle risorse di sistema e di rete bloccando access agli account usati dagli utenti legittimi. L'utente malintenzionato potrebbe eliminare, bloccare o modificare un account (ad esempio modificandone le credenziali) per rimuovere access.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | log attività Azure |
| Tattiche MITRE ATT&CK: | Impact |
| Tecniche MITRE ATT&CK: | T1531 - Rimozione Access account |
| Activity: | Microsoft.Authorization/roleAssignments/delete Disconnettersi |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Creazione di account anomali UEBA
Description: Gli avversari possono creare un account per mantenere access ai sistemi di destinazione. Con un livello sufficiente di access, la creazione di tali account può essere usata per stabilire access con credenziali secondarie senza richiedere la distribuzione di strumenti di access remoti permanenti nel sistema.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di controllo di Microsoft Entra |
| Tattiche MITRE ATT&CK: | Persistence |
| Tecniche MITRE ATT&CK: | T1136 - Creare un account |
| Tecniche secondarie MITRE ATT&CK: | Cloud Account |
| Activity: | Directory principale/UserManagement/Aggiungi utente |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Eliminazione di un account anomala UEBA
Description: Gli avversari possono interrompere la disponibilità delle risorse di sistema e di rete impedendo access agli account utilizzati dagli utenti legittimi. Gli account possono essere eliminati, bloccati o modificati (ad esempio, credenziali modificate) per rimuovere access agli account.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di controllo di Microsoft Entra |
| Tattiche MITRE ATT&CK: | Impact |
| Tecniche MITRE ATT&CK: | T1531 - Rimozione Access account |
| Activity: | Directory principale/UtenteManagement/Elimina utente Directory principale/Dispositivo/Elimina utente Directory principale/UtenteManagement/Elimina utente |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Modifica dell'account anomala UEBA
Description: Gli avversari possono modificare gli account per mantenere access ai sistemi di destinazione. Queste azioni includono l'aggiunta di nuovi account a gruppi con privilegi elevati. Dragonfly 2.0, ad esempio, ha aggiunto nuovi account al gruppo administrators per mantenere access con privilegi elevati. La query seguente genera un output di tutti gli utenti high-Blast Radius che eseguono "Aggiorna utente" (modifica del nome) al ruolo con privilegi o quelli che hanno modificato gli utenti per la prima volta.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di controllo di Microsoft Entra |
| Tattiche MITRE ATT&CK: | Persistence |
| Tecniche MITRE ATT&CK: | T1098 - Manipolazione dell'account |
| Activity: | Directory principale/UtenteGestione/Aggiornamento utente |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Attività anomala UEBA nei log di controllo GCP
Description: Tentativi di access non riusciti per le risorse di Google Cloud Platform (GCP) in base alle voci correlate a IAM nei log di controllo GCP. Questi errori possono riflettere autorizzazioni configurate in modo errato, tentativi di access servizi non autorizzati o comportamenti di utenti malintenzionati in fase iniziale, ad esempio il probe dei privilegi o la persistenza tramite account del servizio.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di controllo GCP |
| Tattiche MITRE ATT&CK: | Scoperta |
| Tecniche MITRE ATT&CK: | T1087 - Individuazione account, T1069 - Individuazione gruppi di autorizzazioni |
| Activity: | iam.googleapis.com |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Attività anomala UEBA in Okta_CL
Descrizione: Attività di autenticazione imprevista o modifiche alla configurazione correlate alla sicurezza in Okta, incluse modifiche alle regole di accesso, all'imposizione dell'autenticazione a più fattori (MFA) o ai privilegi amministrativi. Tale attività potrebbe indicare tentativi di modificare i controlli di sicurezza delle identità o di gestire access tramite modifiche con privilegi.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log cloud okta |
| Tattiche MITRE ATT&CK: | Persistenza, escalation dei privilegi |
| Tecniche MITRE ATT&CK: | T1098 - Manipolazione dell'account, T1556 - Modifica processo di autenticazione |
| Activity: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Autenticazione anomala UEBA
Description: attività di autenticazione insolita tra segnali provenienti da Microsoft Defender for Endpoint e Microsoft Entra ID, inclusi gli accessi dei dispositivi, gli accessi alle identità gestite e le autenticazioni dell'entità servizio da Microsoft Entra ID. Queste anomalie possono suggerire un uso improprio delle credenziali, un abuso di identità non umana o tentativi di spostamento laterale al di fuori dei modelli tipici di access.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Microsoft Defender for Endpoint, Microsoft Entra ID |
| Tattiche MITRE ATT&CK: | Access iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
| Activity: |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Esecuzione di codice anomala UEBA
Descrizione: Gli avversari possono abusare di interpreti di comandi e script per eseguire comandi, script o file binari. Queste interfacce e linguaggi forniscono modi per interagire con i sistemi informatici e sono una funzionalità comune in molte piattaforme diverse.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | log attività Azure |
| Tattiche MITRE ATT&CK: | Execution |
| Tecniche MITRE ATT&CK: | T1059 - Interprete di comando e scripting |
| Tecniche secondarie MITRE ATT&CK: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Distruzione di dati anomali UEBA
Descrizione: Gli avversari possono distruggere i dati e i file in sistemi specifici o in un numero elevato in una rete per interrompere la disponibilità a sistemi, servizi e risorse di rete. È probabile che la distruzione dei dati esegua il rendering irreversibile dei dati archiviati tramite tecniche forensi tramite la sovrascrittura di file o dati su unità locali e remote.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | log attività Azure |
| Tattiche MITRE ATT&CK: | Impact |
| Tecniche MITRE ATT&CK: | T1485 - Distruzione dei dati |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft. Storage/storageAccounts/delete Microsoft. Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft. Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft. Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Trasferimento anomalo dei dati UEBA da Amazon S3
Description: Deviazioni nei dati access o scaricare modelli da Amazon Simple Storage Service (S3). L'anomalia viene determinata usando le baseline comportamentali per ogni utente, servizio e risorsa, confrontando il volume di trasferimento dei dati, la frequenza e il conteggio degli oggetti a cui si accede rispetto alle norme cronologiche. Deviazioni significative, ad esempio il primo access bulk, il recupero di dati insolitamente di grandi dimensioni o l'attività da nuove posizioni o applicazioni, potrebbe indicare potenziali esfiltrazioni di dati, violazioni dei criteri o uso improprio delle credenziali compromesse.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di AWS CloudTrail |
| Tattiche MITRE ATT&CK: | Exfiltration |
| Tecniche MITRE ATT&CK: | T1567 - Esfiltrazione su servizio Web |
| Activity: | PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Modifica del meccanismo difensivo anomalo UEBA
Descrizione: Gli avversari possono disabilitare gli strumenti di sicurezza per evitare possibili rilevamenti degli strumenti e delle attività.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | log attività Azure |
| Tattiche MITRE ATT&CK: | Evasione della difesa |
| Tecniche MITRE ATT&CK: | T1562 - Difesa compromessa |
| Tecniche secondarie MITRE ATT&CK: | Disabilitare o modificare gli strumenti Disabilitare o modificare Il firewall cloud |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Accesso anomalo UEBA non riuscito
Description: Avversari con alcuna conoscenza precedente delle credenziali legittime all'interno del sistema o dell'ambiente possono indovinare le password per tentare di access agli account.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di accesso Microsoft Entra log di Windows Security |
| Tattiche MITRE ATT&CK: | Access delle credenziali |
| Tecniche MITRE ATT&CK: | T1110 - Forza bruta |
| Activity: | attività di accesso Microsoft Entra ID: Windows Security: Accesso non riuscito (ID evento 4625) |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Attività di identità FEDERATa o SAML anomala UEBA in AwsCloudTrail
Descrizione: Attività insolita da identità federate o SAML (Security Assertion Markup Language) che coinvolgono azioni di prima volta, posizioni geografiche sconosciute o chiamate API eccessive. Tali anomalie possono indicare il dirottamento della sessione o l'uso improprio delle credenziali federate.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di AWS CloudTrail |
| Tattiche MITRE ATT&CK: | Access iniziale, persistenza |
| Tecniche MITRE ATT&CK: | T1078 - Account validi, T1550 - Usare materiale di autenticazione alternativo |
| Activity: | UserAuthentication (EXTERNAL_IDP) |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Modifica dei privilegi IAM anomali di UEBA in AwsCloudTrail
Description: Deviazioni nel comportamento amministrativo di Gestione identità e Access, ad esempio creazione, modifica o eliminazione di ruoli, utenti e gruppi o allegati di nuovi criteri inline o gestiti. Questi potrebbero indicare l'escalation dei privilegi o l'abuso dei criteri.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di AWS CloudTrail |
| Tattiche MITRE ATT&CK: | Escalation dei privilegi, persistenza |
| Tecniche MITRE ATT&CK: | T1136 - Crea account, T1098 - Manipolazione dell'account |
| Activity: | Operazioni di creazione, aggiunta, collegamento, eliminazione, disattivazione, inserimento e aggiornamento in iam.amazonaws.com, sso-directory.amazonaws.com |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Accesso anomalo UEBA in AwsCloudTrail
Descrizione: Attività di accesso insolite nei servizi Amazon Web Services (AWS) basati su eventi CloudTrail, ad esempio ConsoleLogin e altri attributi correlati all'autenticazione. Le anomalie sono determinate da deviazioni nel comportamento dell'utente in base a attributi come la georilevazione, l'impronta digitale del dispositivo, l'ISP e il metodo access e possono indicare tentativi di access non autorizzati o potenziali violazioni dei criteri.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di AWS CloudTrail |
| Tattiche MITRE ATT&CK: | Access iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
| Activity: | ConsoleLogin |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Errori di autenticazione a più fattori anomali ueBA in Okta_CL
Descrizione: Modelli insoliti di tentativi di autenticazione a più fattori non riusciti in Okta. Queste anomalie possono derivare da un uso improprio dell'account, dall'uso improprio delle credenziali o dall'uso improprio dei meccanismi dei dispositivi attendibili e spesso da comportamenti antagonisti iniziali, ad esempio il test delle credenziali rubate o la verifica delle misure di sicurezza delle identità.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log cloud okta |
| Tattiche MITRE ATT&CK: | Persistenza, escalation dei privilegi |
| Tecniche MITRE ATT&CK: | T1078 - Account validi, T1556 - Modifica processo di autenticazione |
| Activity: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Reimpostazione della password anomala UEBA
Description: Gli avversari possono interrompere la disponibilità delle risorse di sistema e di rete impedendo access agli account utilizzati dagli utenti legittimi. Gli account possono essere eliminati, bloccati o modificati (ad esempio, credenziali modificate) per rimuovere access agli account.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di controllo di Microsoft Entra |
| Tattiche MITRE ATT&CK: | Impact |
| Tecniche MITRE ATT&CK: | T1531 - Rimozione Access account |
| Activity: | Directory principale/UserManagement/Reimpostazione password utente |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Privilegi anomali UEBA concessi
Description: Gli avversari possono aggiungere credenziali controllate da avversari per Azure entità servizio oltre alle credenziali legittime esistenti per mantenere access permanenti agli account di Azure vittima.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di controllo di Microsoft Entra |
| Tattiche MITRE ATT&CK: | Persistence |
| Tecniche MITRE ATT&CK: | T1098 - Manipolazione dell'account |
| Tecniche secondarie MITRE ATT&CK: | Credenziali aggiuntive dell'entità servizio Azure |
| Activity: | Provisioning dell'account/Gestione applicazioni/Aggiungere un'assegnazione di ruolo dell'app all'entità servizio |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Chiave UEBA anomala o chiave del Servizio di gestione delle chiavi Access in AwsCloudTrail
Description: access sospette alle risorse di AWS Secrets Manager o del Servizio di gestione delle chiavi. La prima volta access o una frequenza insolitamente elevata access potrebbe indicare tentativi di raccolta o esfiltrazione di credenziali.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di AWS CloudTrail |
| Tattiche MITRE ATT&CK: | Access credenziali, raccolta |
| Tecniche MITRE ATT&CK: | T1555 - Credenziali dagli archivi password |
| Activity: | GetSecretValue BatchGetSecretValue ListKeys ListSecrets PutSecretValue CreateSecret UpdateSecret DeleteSecret Createkey PutKeyPolicy |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Accesso anomalo UEBA
Description: Gli avversari possono rubare le credenziali di un account utente o di servizio specifico usando tecniche di Access credenziali o acquisire le credenziali in precedenza nel processo di ricognizione tramite ingegneria sociale per ottenere la persistenza.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di accesso Microsoft Entra log di Windows Security |
| Tattiche MITRE ATT&CK: | Persistence |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
| Activity: | attività di accesso Microsoft Entra ID: Windows Security: accesso riuscito (ID evento 4624) |
Torna all'elenco | delle anomalie UEBATorna all'inizio
Comportamento del ruolo assumerole anomalo di UEBA NEL servizio token di sicurezza di Azure in AwsCloudTrail
Description: Utilizzo anomalo delle azioni AssumeRole di AWS Security Token Service (STS), in particolare con ruoli con privilegi o access tra account. Le deviazioni dall'utilizzo tipico possono indicare l'escalation dei privilegi o la compromissione dell'identità.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | UEBA |
| Origini dati: | Log di AWS CloudTrail |
| Tattiche MITRE ATT&CK: | Escalation dei privilegi, evasione della difesa |
| Tecniche MITRE ATT&CK: | T1548 - Meccanismo di controllo dell'elevazione degli abusi, T1078 - Account validi |
| Activity: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity AssumeRoot |
Torna all'elenco | delle anomalie UEBATorna all'inizio
anomalie basate su Machine learning
Le anomalie personalizzabili di Microsoft Sentinel machine learning possono identificare un comportamento anomalo con i modelli di regole di analisi che possono essere usati per funzionare immediatamente. Anche se le anomalie non indicano necessariamente comportamenti dannosi o addirittura sospetti da soli, possono essere usate per migliorare rilevamenti, indagini e ricerca di minacce.
- Operazioni di Azure anomalous
- Esecuzione di codice anomalo
- Creazione di un account locale anomalo
- Attività degli utenti non ottimali in Office Exchange
- Tentativo di forza bruta del computer
- Tentativo di forza bruta dell'account utente
- Tentativo di forza bruta dell'account utente per tipo di accesso
- Tentativo di forza bruta dell'account utente per ogni motivo di errore
- Rilevare il comportamento di network beaconing generato dal computer
- Algoritmo di generazione del dominio (DGA) nei domini DNS
- Download eccessivi tramite Palo Alto GlobalProtect
- Caricamenti eccessivi tramite Palo Alto GlobalProtect
- Potenziale algoritmo di generazione di domini (DGA) nei domini DNS di livello successivo
- Volume sospetto di chiamate API AWS dall'indirizzo IP di origine non AWS
- Volume sospetto di chiamate API di scrittura AWS da un account utente
- Volume sospetto di account di accesso al computer
- Volume sospetto di account di accesso al computer con token con privilegi elevati
- Volume sospetto di account di accesso all'account utente
- Volume sospetto di account di accesso all'account utente in base ai tipi di accesso
- Volume sospetto di account di accesso all'account utente con token con privilegi elevati
Operazioni di Azure anomale
Description: Questo algoritmo di rilevamento raccoglie 21 giorni di dati sulle operazioni Azure raggruppate dall'utente per eseguire il training di questo modello di Machine Learning. L'algoritmo genera quindi anomalie nel caso di utenti che hanno eseguito sequenze di operazioni non comuni nelle aree di lavoro. Il modello di Machine Learning sottoposto a training assegna un punteggio alle operazioni eseguite dall'utente e considera anomale quelle il cui punteggio è maggiore della soglia definita.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | log attività Azure |
| Tattiche MITRE ATT&CK: | Access iniziale |
| Tecniche MITRE ATT&CK: | T1190 - Applicazione di exploit Public-Facing |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Esecuzione anomala del codice
Descrizione: Gli utenti malintenzionati possono abusare di interpreti di script e comandi per eseguire comandi, script o file binari. Queste interfacce e linguaggi forniscono modi per interagire con i sistemi informatici e sono una funzionalità comune in molte piattaforme diverse.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | log attività Azure |
| Tattiche MITRE ATT&CK: | Execution |
| Tecniche MITRE ATT&CK: | T1059 - Interprete di comando e scripting |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Creazione di un account locale anomalo
Descrizione: Questo algoritmo rileva la creazione di account locali anomali nei sistemi Windows. Gli utenti malintenzionati possono creare account locali per mantenere access ai sistemi di destinazione. Questo algoritmo analizza l'attività di creazione dell'account locale nei 14 giorni precedenti dagli utenti. Cerca un'attività simile nel giorno corrente dagli utenti che non sono stati precedentemente visti nell'attività cronologica. È possibile specificare un elenco di elementi consentiti per filtrare gli utenti noti dall'attivazione di questa anomalia.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | log di Windows Security |
| Tattiche MITRE ATT&CK: | Persistence |
| Tecniche MITRE ATT&CK: | T1136 - Creare un account |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Attività utente anomale in Office Exchange
Description: Questo modello di machine learning raggruppa i log di Office Exchange su base utente in bucket orari. Definiamo un'ora come sessione. Il training del modello viene eseguito nei 7 giorni precedenti del comportamento in tutti gli utenti normali (non amministratori). Indica un utente anomalo di Office Exchange sessioni nell'ultimo giorno.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | Log attività di Office (Exchange) |
| Tattiche MITRE ATT&CK: | Persistence Collection |
| Tecniche MITRE ATT&CK: |
Collection: T1114 - Raccolta di messaggi di posta elettronica T1213 - Dati dai repository di informazioni Persistence: T1098 - Manipolazione dell'account T1136 - Creare un account T1137 - Avvio dell'applicazione Office T1505 - Componente software server |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Tentativo di forza bruta del computer
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per ogni computer nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Windows security registri eventi.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | log di Windows Security |
| Tattiche MITRE ATT&CK: | Access delle credenziali |
| Tecniche MITRE ATT&CK: | T1110 - Forza bruta |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Tentativo di forza bruta dell'account utente
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per ogni account utente nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Windows security registri eventi.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | log di Windows Security |
| Tattiche MITRE ATT&CK: | Access delle credenziali |
| Tecniche MITRE ATT&CK: | T1110 - Forza bruta |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Tentativo di forza bruta dell'account utente per tipo di accesso
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per ogni account utente per tipo di accesso nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Windows security registri eventi.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | log di Windows Security |
| Tattiche MITRE ATT&CK: | Access delle credenziali |
| Tecniche MITRE ATT&CK: | T1110 - Forza bruta |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Tentativo di forza bruta dell'account utente per ogni motivo di errore
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di tentativi di accesso non riusciti (ID evento di sicurezza 4625) per ogni account utente per motivo di errore nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Windows security registri eventi.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | log di Windows Security |
| Tattiche MITRE ATT&CK: | Access delle credenziali |
| Tecniche MITRE ATT&CK: | T1110 - Forza bruta |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Rilevare il comportamento di network beaconing generato dal computer
Descrizione: Questo algoritmo identifica i modelli di beaconing dai log di connessione del traffico di rete in base a modelli differenziali temporali ricorrenti. Qualsiasi connessione di rete verso reti pubbliche non attendibili in delta temporali ripetitivi è un'indicazione di callback malware o tentativi di esfiltrazione di dati. L'algoritmo calcolerà il delta temporale tra le connessioni di rete consecutive tra lo stesso indirizzo IP di origine e l'INDIRIZZO IP di destinazione, nonché il numero di connessioni in una sequenza delta temporale tra le stesse origini e destinazioni. La percentuale di beaconing viene calcolata come connessioni nella sequenza delta temporale rispetto alle connessioni totali in un giorno.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | CommonSecurityLog (PAN) |
| Tattiche MITRE ATT&CK: | Comando e controllo |
| Tecniche MITRE ATT&CK: | T1071 - Protocollo livello applicazione T1132 - Codifica dei dati T1001 - Offuscamento dei dati T1568 - Risoluzione dinamica T1573 - Canale crittografato T1008 - Canali di fallback T1104 - Canali a più fasi T1095 - Protocollo di livello non applicazione T1571 - Porta non standard T1572 - Tunneling del protocollo T1090 - Proxy T1205 - Segnalazione del traffico T1102 - Servizio Web |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Algoritmo di generazione del dominio (DGA) nei domini DNS
Description: Questo modello di machine learning indica i potenziali domini DGA dell'ultimo giorno nei log DNS. L'algoritmo si applica ai record DNS che si risolvono in indirizzi IPv4 e IPv6.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | Eventi DNS |
| Tattiche MITRE ATT&CK: | Comando e controllo |
| Tecniche MITRE ATT&CK: | T1568 - Risoluzione dinamica |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Download eccessivi tramite Palo Alto GlobalProtect
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di download per account utente tramite la soluzione VPN Palo Alto. Il training del modello viene eseguito nei 14 giorni precedenti dei log VPN. Indica un volume elevato anomalo di download nell'ultimo giorno.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | CommonSecurityLog (PAN VPN) |
| Tattiche MITRE ATT&CK: | Exfiltration |
| Tecniche MITRE ATT&CK: | T1030 - Limiti delle dimensioni del trasferimento dei dati T1041 - Esfiltrazione su canale C2 T1011 - Esfiltrazione su altri supporti di rete T1567 - Esfiltrazione su servizio Web T1029 - Trasferimento pianificato T1537 - Trasferire i dati nell'account cloud |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Caricamenti eccessivi tramite Palo Alto GlobalProtect
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di caricamento per account utente tramite la soluzione VPN Palo Alto. Il training del modello viene eseguito nei 14 giorni precedenti dei log VPN. Indica un volume elevato anomalo di caricamento nell'ultimo giorno.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | CommonSecurityLog (PAN VPN) |
| Tattiche MITRE ATT&CK: | Exfiltration |
| Tecniche MITRE ATT&CK: | T1030 - Limiti delle dimensioni del trasferimento dei dati T1041 - Esfiltrazione su canale C2 T1011 - Esfiltrazione su altri supporti di rete T1567 - Esfiltrazione su servizio Web T1029 - Trasferimento pianificato T1537 - Trasferire i dati nell'account cloud |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Potenziale algoritmo di generazione di domini (DGA) nei domini DNS di livello successivo
Description: Questo modello di machine learning indica i domini di livello successivo (di terzo livello e superiore) dei nomi di dominio dell'ultimo giorno dei log DNS insoliti. Potrebbero potenzialmente essere l'output di un algoritmo di generazione di dominio ( DGA). L'anomalia si applica ai record DNS che si risolvono negli indirizzi IPv4 e IPv6.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | Eventi DNS |
| Tattiche MITRE ATT&CK: | Comando e controllo |
| Tecniche MITRE ATT&CK: | T1568 - Risoluzione dinamica |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Volume sospetto di chiamate API AWS dall'indirizzo IP di origine non AWS
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di chiamate API AWS per ogni account utente per area di lavoro, dagli indirizzi IP di origine all'esterno degli intervalli IP di origine di AWS, all'interno dell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti degli eventi di log di AWS CloudTrail in base all'indirizzo IP di origine. Questa attività può indicare che l'account utente è compromesso.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | Log di AWS CloudTrail |
| Tattiche MITRE ATT&CK: | Access iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Volume sospetto di chiamate API di scrittura AWS da un account utente
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di chiamate API di scrittura AWS per account utente nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti degli eventi di log di AWS CloudTrail in base all'account utente. Questa attività può indicare che l'account è compromesso.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | Log di AWS CloudTrail |
| Tattiche MITRE ATT&CK: | Access iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Volume sospetto di account di accesso al computer
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) per computer nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Windows Security registri eventi.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | log di Windows Security |
| Tattiche MITRE ATT&CK: | Access iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Volume sospetto di account di accesso al computer con token con privilegi elevati
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) con privilegi amministrativi, per computer, nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Windows Security registri eventi.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | log di Windows Security |
| Tattiche MITRE ATT&CK: | Access iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Volume sospetto di account di accesso all'account utente
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) per ogni account utente nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Windows Security registri eventi.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | log di Windows Security |
| Tattiche MITRE ATT&CK: | Access iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Volume sospetto di account di accesso all'account utente in base ai tipi di accesso
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) per account utente, in base a tipi di accesso diversi, nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Windows Security registri eventi.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | log di Windows Security |
| Tattiche MITRE ATT&CK: | Access iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Volume sospetto di account di accesso all'account utente con token con privilegi elevati
Descrizione: Questo algoritmo rileva un volume insolitamente elevato di accessi riusciti (ID evento di sicurezza 4624) con privilegi amministrativi, per account utente, nell'ultimo giorno. Il training del modello viene eseguito nei 21 giorni precedenti di Windows Security registri eventi.
| Attribute | Value |
|---|---|
| Tipo di anomalia: | Machine learning personalizzabili |
| Origini dati: | log di Windows Security |
| Tattiche MITRE ATT&CK: | Access iniziale |
| Tecniche MITRE ATT&CK: | T1078 - Account validi |
Back all'elenco di anomalie basate su Machine learning | Back all'inizio
Passaggi successivi
- Informazioni sulle anomalie generate da machine learning in Microsoft Sentinel.
- Informazioni su come usare le regole di anomalia.
- Analizzare gli eventi imprevisti con Microsoft Sentinel.