Microsoft Sentinel では、一定期間にわたる環境内のユーザーの動作を分析し、正当なアクティビティのベースラインを構築することで、異常を検出します。 ベースラインが確立されると、通常のパラメーターの範囲外にあるアクティビティは異常 (つまり、疑わしい) と見なされます。
Microsoft Sentinel では、2 つのモデルを使用してベースラインを作成し、異常を検出します。
この記事では、さまざまなmachine learning モデルを使用して Microsoft Sentinel が検出する異常の一覧を示します。
Anomalies テーブル内:
-
rulename列は、各異常を識別するために Sentinel が使用するルールを示します。 -
score列には、0 ~ 1 の数値が含まれています。これは、予期される動作からの偏差の程度を定量化します。 スコアが高いほどベースラインからの偏差が大きいことを示し、真の異常である可能性が高くなります。 スコアが低いほど異常な場合もありますが、有意または実用的である可能性は低くなります。
Note
これらの異常検出は、結果の品質が低いため、2026 年 3 月 8 日をもって廃止されました。
- DNS ドメインでのドメイン生成アルゴリズム (DGA)
- 次のレベルの DNS ドメインでのドメイン生成アルゴリズム (DGA) の可能性
UEBA と machine learning ベースの異常を比較する
UEBA と machine learning (ML) -based 異常は、異常検出に対する補完的なアプローチです。 両方とも Anomalies テーブルにデータを入力しますが、さまざまな目的に対応します。
| アスペクト | UEBA の異常 | ML の異常検出ルール |
|---|---|---|
| フォーカス | 異常 な動作をしているユーザー | 異常な アクティビティ |
| 検出アプローチ | 過去のアクティビティ、ピアの動作、組織全体のパターンと比較したエンティティに重点を置いた行動ベースライン | 特定のデータ パターンでトレーニングされた統計モデルと ML モデルを使用したカスタマイズ可能なルール テンプレート |
| ベースライン ソース | 各エンティティの独自の履歴、ピア グループ、および組織 | 特定のイベントの種類に対するトレーニング期間 (通常は 7 ~ 21 日) |
| カスタマイズ | UEBA 設定を使用して有効または無効にする | 分析ルール UI を使用して調整可能なしきい値とパラメーター |
| 例 | 異常なサインイン、異常なアカウントの作成、異常な特権の変更 | ブルート フォースの試行、過剰なダウンロード、ネットワーク ビーコン |
詳細については、以下を参照してください:
UEBA の異常
Sentinel UEBA では、さまざまなデータ入力にわたってエンティティごとに作成された動的ベースラインに基づいて異常を検出します。 各エンティティのベースライン動作は、その独自の過去のアクティビティ、ピアの過去のアクティビティ、組織全体の過去のアクティビティに従って設定されます。 異常は、さまざまな属性 (アクションの種類、地理的位置、デバイス、リソース、ISP など) の相関関係が引き金となって発生することがあります。
SENTINEL ワークスペースで UEBA と異常検出を有効にして、UEBA の異常を検出する必要があります。
UEBA は、次の異常ルールに基づいて異常を検出します。
- UEBA Anomalous Account Access Removal
- UEBA の異常なアカウントの作成
- UEBA の異常なアカウントの削除
- UEBA の異常なアカウント操作
- GCP 監査ログの UEBA 異常アクティビティ
- Okta_CLでの UEBA 異常アクティビティ
- UEBA 異常認証
- UEBA の異常なコード実行
- UEBA の異常なデータの破棄
- Amazon S3 からの UEBA 異常データ転送
- UEBA 異常防御メカニズムの変更
- UEBA Anomalous Failed Sign-in
- AWSCloudTrail での UEBA 異常フェデレーションまたは SAML ID アクティビティ
- AWSCloudTrail での UEBA の異常な IAM 特権の変更
- AwsCloudTrail での UEBA 異常ログオン
- Okta_CLでの UEBA の異常な MFA エラー
- UEBA の異常なパスワード リセット
- UEBA の異常な特権が付与されました
- UEBA Anomalous Secret or KMS Key Access in AwsCloudTrail
- UEBA 異常なサインイン
- AWSCloudTrail での UEBA 異常 STS AssumeRole 動作
Sentinel では、BehaviorAnalytics テーブルからエンリッチされたデータを使用して、テナントとソースに固有の信頼度スコアを使用して UEBA の異常を識別します。
UEBA 異常なアカウントAccessの削除
Description: 攻撃者は、正当なユーザーが使用するアカウントへのaccessをブロックすることで、システムリソースとネットワーク リソースの可用性を中断する可能性があります。 攻撃者は、アカウントを削除、ロック、または操作して (資格情報を変更するなど)、そのアカウントに対するaccessを削除する可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | アクティビティ ログのAzure |
| MITRE ATT&CK の戦術: | Impact |
| MITRE ATT&CK の手法: | T1531 - アカウントAccessの削除 |
| Activity: | Microsoft.Authorization/roleAssignments/delete ログアウトする |
UEBA の異常なアカウントの作成
Description: 敵対者は、対象システムへのaccessを維持するためのアカウントを作成できます。 十分なレベルのaccessでは、このようなアカウントの作成を使用して、永続的なリモート access ツールをシステムに展開しなくても、セカンダリ資格情報accessを確立できます。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | Persistence |
| MITRE ATT&CK の手法: | T1136 - アカウントの作成 |
| MITRE ATT&CK サブ手法: | クラウド アカウント |
| Activity: | Core Directory/UserManagement/Add user |
UEBA の異常なアカウントの削除
Description: 敵対者は、正当なユーザーが使用するアカウントへのaccessを禁止することで、システムリソースとネットワーク リソースの可用性を中断する可能性があります。 アカウントへのaccessを削除するために、アカウントを削除、ロック、または操作 (資格情報の変更など) できます。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | Impact |
| MITRE ATT&CK の手法: | T1531 - アカウントAccessの削除 |
| Activity: | Core Directory/UserManagement/Delete user コア ディレクトリ/デバイス/ユーザーの削除 Core Directory/UserManagement/Delete user |
UEBA の異常なアカウント操作
Description: 敵対者は、ターゲット システムへのaccessを維持するためにアカウントを操作できます。 これらのアクションとして、高い特権を持つグループへの新規アカウントの追加があります。 たとえば、Dragonfly 2.0 では、管理者特権のaccessを維持するために、新しく作成されたアカウントが管理者グループに追加されました。 以下のクエリを使用すると、特権ロールに対して "ユーザーの更新" (名前の変更) を実行している影響範囲の大きいすべてのユーザー、または初めてユーザーを変更したユーザーの出力が生成されます。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | Persistence |
| MITRE ATT&CK の手法: | T1098 - アカウント操作 |
| Activity: | Core Directory/UserManagement/Update ユーザー |
GCP 監査ログの UEBA 異常アクティビティ
Description: GCP 監査ログの IAM 関連エントリに基づいて、Google Cloud Platform (GCP) リソースへの失敗したaccess試行。 これらのエラーは、正しく構成されていないアクセス許可、未承認のサービスをaccessしようとする試み、またはサービス アカウントを介した特権プローブや永続化などの初期の攻撃者の動作を反映している可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | GCP 監査ログ |
| MITRE ATT&CK の戦術: | 発見 |
| MITRE ATT&CK の手法: | T1087 – アカウントの検出、T1069 – アクセス許可グループの検出 |
| Activity: | iam.googleapis.com |
Okta_CLでの UEBA 異常アクティビティ
形容: Okta での予期しない認証アクティビティまたはセキュリティ関連の構成の変更 (サインオン規則の変更、多要素認証 (MFA) の適用、管理者特権など)。 このようなアクティビティは、ID セキュリティ制御を変更したり、特権の変更によってaccessを維持しようとしたりすることを示している可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Okta クラウド ログ |
| MITRE ATT&CK の戦術: | 永続化、特権エスカレーション |
| MITRE ATT&CK の手法: | T1098 - アカウント操作、T1556 - 認証プロセスの変更 |
| Activity: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
UEBA 異常認証
Description: デバイス ログオン、マネージド ID サインイン、Microsoft Entra IDからのサービス プリンシパル認証など、Microsoft Defender for EndpointとMicrosoft Entra IDからのシグナル間で異常な認証アクティビティ。 これらの異常は、資格情報の誤用、人間以外の ID の悪用、または一般的なaccess パターン外での横移動の試行を示唆する可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Defender for Endpoint、Microsoft Entra ID |
| MITRE ATT&CK の戦術: | 初期Access |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
| Activity: |
UEBA の異常なコード実行
形容: 敵対者は、コマンドインタープリターやスクリプト インタープリターを悪用して、コマンド、スクリプト、バイナリを実行する可能性があります。 これらのインターフェイスと言語は、コンピューター システムと対話する手段を提供し、さまざまなプラットフォームに共通した機能です。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | アクティビティ ログのAzure |
| MITRE ATT&CK の戦術: | Execution |
| MITRE ATT&CK の手法: | T1059 - コマンドおよびスクリプト インタープリター |
| MITRE ATT&CK サブ手法: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
UEBA の異常なデータの破棄
形容: 敵対者は、システム、サービス、およびネットワーク リソースの可用性を中断するために、特定のシステム上またはネットワーク上の多数のデータとファイルを破棄する可能性があります。 データが破壊されると、ローカルまたはリモートのドライブ上のファイルまたはデータを上書きすることで、フォレンジック手法によって保存されたデータが回復不能になるおそれがあります。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | アクティビティ ログのAzure |
| MITRE ATT&CK の戦術: | Impact |
| MITRE ATT&CK の手法: | T1485 - データの破壊 |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete マイクロソフト。Storage/storageAccounts/delete マイクロソフト。Storage/storageAccounts/blobServices/containers/blobs/delete マイクロソフト。Storage/storageAccounts/fileServices/fileshares/files/delete マイクロソフト。Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Amazon S3 からの UEBA 異常データ転送
Description: Amazon Simple Storage Service (S3) からのデータaccessまたはダウンロード パターンの偏差。 異常は、各ユーザー、サービス、およびリソースの動作ベースラインを使用して決定され、データ転送量、頻度、アクセスされたオブジェクト数と過去の基準を比較します。 初回の一括access、異常に大きなデータ取得、新しい場所やアプリケーションからのアクティビティなど、重大な偏差は、潜在的なデータ流出、ポリシー違反、または侵害された資格情報の誤用を示している可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK の戦術: | Exfiltration |
| MITRE ATT&CK の手法: | T1567 - Web サービス経由のデータ流出 |
| Activity: | PutObject、CopyObject、UploadPart、UploadPartCopy、CreateJob、CompleteMultipartUpload |
UEBA 異常防御メカニズムの変更
形容: 敵対者は、セキュリティ ツールを無効にして、ツールやアクティビティが検出される可能性を回避できます。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | アクティビティ ログのAzure |
| MITRE ATT&CK の戦術: | 防御回避 |
| MITRE ATT&CK の手法: | T1562 - 防御の低下 |
| MITRE ATT&CK サブ手法: | ツールを無効にするか変更する クラウド ファイアウォールを無効にするか変更する |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
UEBA Anomalous Failed Sign-in
Description: システムまたは環境内の正当な資格情報に関する事前知識がない敵対者は、パスワードがアカウントへのaccessを試みる可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra サインイン ログ ログのWindows Security |
| MITRE ATT&CK の戦術: | 資格情報Access |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
| Activity: |
Microsoft Entra ID: サインイン アクティビティ Windows Security: 失敗したログイン (イベント ID 4625) |
AWSCloudTrail での UEBA 異常フェデレーションまたは SAML ID アクティビティ
説明: 初めてのアクション、未知の地理的な場所、または過剰な API 呼び出しを含む、フェデレーションまたはセキュリティ アサーション マークアップ言語 (SAML) ベースの ID による異常なアクティビティ。 このような異常は、セッションハイジャックやフェデレーション資格情報の誤用を示している可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK の戦術: | 初期Access、永続化 |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント、T1550 - 代替認証マテリアルの使用 |
| Activity: | UserAuthentication (EXTERNAL_IDP) |
AWSCloudTrail での UEBA の異常な IAM 特権の変更
Description: ロール、ユーザー、グループの初回作成、変更、削除、新しいインラインポリシーまたは管理ポリシーの添付ファイルなど、ID およびAccess管理 (IAM) の管理動作における逸脱。 これらは、特権のエスカレーションまたはポリシーの不正使用を示している可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK の戦術: | 特権のエスカレーション、永続化 |
| MITRE ATT&CK の手法: | T1136 - アカウントの作成、T1098 - アカウント操作 |
| Activity: | iam.amazonaws.com、sso-directory.amazonaws.com に対する作成、追加、アタッチ、削除、非アクティブ化、配置、更新の各操作 |
AwsCloudTrail での UEBA 異常ログオン
形容: ConsoleLogin などの CloudTrail イベントやその他の認証関連の属性に基づくアマゾン ウェブ サービス (AWS) サービスでの異常なログオン アクティビティ。 異常は、位置情報、デバイスフィンガープリント、ISP、accessメソッドなどの属性に基づくユーザー動作の偏差によって決定され、未承認のaccess試行や潜在的なポリシー違反を示している可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK の戦術: | 初期Access |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
| Activity: | ConsoleLogin |
Okta_CLでの UEBA の異常な MFA エラー
形容: Okta で失敗した MFA 試行の異常なパターン。 これらの異常は、アカウントの誤用、資格情報の詰め込み、または信頼されたデバイス メカニズムの不適切な使用に起因する可能性があり、多くの場合、盗まれた資格情報のテストや ID セーフガードの調査など、初期段階の敵対者の動作を反映しています。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Okta クラウド ログ |
| MITRE ATT&CK の戦術: | 永続化、特権エスカレーション |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント、T1556 - 認証プロセスの変更 |
| Activity: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
UEBA の異常なパスワード リセット
Description: 敵対者は、正当なユーザーが使用するアカウントへのaccessを禁止することで、システムリソースとネットワーク リソースの可用性を中断する可能性があります。 アカウントへのaccessを削除するために、アカウントを削除、ロック、または操作 (資格情報の変更など) できます。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | Impact |
| MITRE ATT&CK の手法: | T1531 - アカウントAccessの削除 |
| Activity: | Core Directory/UserManagement/User password reset |
UEBA の異常な特権が付与されました
Description: 敵対者は、既存の正当な資格情報に加えて、Azure サービス プリンシパルの敵対者が制御する資格情報を追加して、被害者のAzure アカウントに対する永続的なaccessを維持できます。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | Persistence |
| MITRE ATT&CK の手法: | T1098 - アカウント操作 |
| MITRE ATT&CK サブ手法: | その他のAzure サービス プリンシパルの資格情報 |
| Activity: | アカウントのプロビジョニング/アプリケーション管理/サービス プリンシパルへのアプリ ロールの割り当ての追加 |
AWSCloudTrail の UEBA Anomalous Secret または KMS Key Access
Description: AWS Secrets Manager またはキー管理サービス (KMS) リソースへの疑わしいaccess。 初めてのaccessまたは異常に高いaccess頻度は、資格情報の収集またはデータ流出の試行を示している可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK の戦術: | 資格情報Access、コレクション |
| MITRE ATT&CK の手法: | T1555 - パスワード ストアからの資格情報 |
| Activity: | GetSecretValue BatchGetSecretValue ListKeys ListSecrets PutSecretValue CreateSecret UpdateSecret DeleteSecret CreateKey PutKeyPolicy |
UEBA 異常なサインイン
Description: 敵対者は、Credential Access 手法を使用して特定のユーザーまたはサービス アカウントの資格情報を盗んだり、ソーシャル エンジニアリングを通じて資格情報をキャプチャして永続性を得ることができます。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra サインイン ログ ログのWindows Security |
| MITRE ATT&CK の戦術: | Persistence |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
| Activity: |
Microsoft Entra ID: サインイン アクティビティ Windows Security: ログインに成功しました (イベント ID 4624) |
AWSCloudTrail での UEBA 異常 STS AssumeRole 動作
Description: AWS Security Token Service (STS) AssumeRole アクションの異常な使用 (特に特権ロールまたはクロスアカウント accessを含む)。 一般的な使用からの逸脱は、特権のエスカレーションまたは ID 侵害を示している可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK の戦術: | 特権エスカレーション、防御回避 |
| MITRE ATT&CK の手法: | T1548 - 不正使用昇格制御メカニズム、T1078 - 有効なアカウント |
| Activity: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity AssumeRoot |
Machine learningベースの異常
Microsoft Sentinel のカスタマイズ可能なmachine learningベースの異常は、すぐに動作するように配置できる分析ルール テンプレートを使用して異常な動作を識別できます。 異常そのものが悪意のある挙動や疑わしい動作を意味しているとは限らないものの、それを活用して検出、調査、脅威追求の能力を高めることができます。
- Anomalous Azure操作
- 異常なコード実行
- 異常なローカル アカウントの作成
Office Exchange - 試行されたコンピューターのブルート フォース
- 試行されたユーザー アカウントのブルート フォース
- ログインの種類ごとに試行されたユーザー アカウントのブルート フォース
- 失敗した理由ごとの試行されたユーザー アカウントのブルート フォース
- マシンによって生成されたネットワーク ビーコン動作を検出する
- DNS ドメインのドメイン生成アルゴリズム (DGA)
- Palo Alto GlobalProtect を使用した過剰なダウンロード
- Palo Alto GlobalProtect を使用した過剰なアップロード
- 次のレベルの DNS ドメインでの潜在的なドメイン生成アルゴリズム (DGA)
- AWS 以外のソース IP アドレスからの AWS API 呼び出しの疑わしいボリューム
- ユーザー アカウントからの AWS 書き込み API 呼び出しの疑わしいボリューム
- コンピューターへのログインの疑わしいボリューム
- 昇格されたトークンを使用したコンピューターへの疑わしいログイン量
- ユーザー アカウントへのログインの疑わしいボリューム
- ログオンの種類別にユーザー アカウントへのログインの疑わしいボリューム
- 昇格されたトークンを使用したユーザー アカウントへの疑わしいログイン量
異常なAzure操作
Description: この検出アルゴリズムは、この ML モデルをトレーニングするためにユーザー別にグループ化されたAzure操作に関する 21 日間分のデータを収集します。 その後、このアルゴリズムでは、そのワークスペースで一般的でない一連の操作を実行したユーザーについての異常を生成します。 トレーニングされた ML モデルでは、ユーザーによって実行された操作にスコアを付け、そのスコアが定義済みしきい値を超えているものを異常と見なします。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | アクティビティ ログのAzure |
| MITRE ATT&CK の戦術: | 初期Access |
| MITRE ATT&CK の手法: | T1190 - 公開アプリケーションの悪用 |
異常なコード実行
形容: 攻撃者はコマンド インタープリターとスクリプト インタープリターを悪用して、コマンド、スクリプト、またはバイナリを実行する可能性があります。 これらのインターフェイスと言語は、コンピューター システムと対話する手段を提供し、さまざまなプラットフォームに共通した機能です。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | アクティビティ ログのAzure |
| MITRE ATT&CK の戦術: | Execution |
| MITRE ATT&CK の手法: | T1059 - コマンドおよびスクリプト インタープリター |
異常なローカル アカウント作成
形容: このアルゴリズムは、Windows システムでの異常なローカル アカウントの作成を検出します。 攻撃者がローカル アカウントを作成して、対象システムに対するaccessを維持する可能性があります。 このアルゴリズムでは、ユーザーによる過去 14 日間のローカル アカウント作成アクティビティを分析します。 過去のアクティビティでこれまで検出されなかったユーザーによる、当日の同様のアクティビティを探します。 許可リストを指定して既知のユーザーをフィルターで除外して、この異常がトリガーされるのを避けることができます。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | ログのWindows Security |
| MITRE ATT&CK の戦術: | Persistence |
| MITRE ATT&CK の手法: | T1136 - アカウントの作成 |
Office Exchange での異常なユーザー アクティビティ
Description: このmachine learning モデルは、Office Exchange ログをユーザーごとに時間単位のバケットにグループ化します。 1 時間を 1 つのセッションとして定義します。 このモデルは、通常 (管理者以外) のユーザー全員の過去 7 日間の動作でトレーニングされます。 これは、過去 1 日の異常なユーザー Office Exchange セッションを示します。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | Office アクティビティ ログ (Exchange) |
| MITRE ATT&CK の戦術: | Persistence Collection |
| MITRE ATT&CK の手法: |
Collection: T1114 - メール コレクション T1213 - 情報リポジトリからのデータ Persistence: T1098 - アカウント操作 T1136 - アカウントの作成 T1137 - Office アプリケーションの起動 T1505 - サーバー ソフトウェア コンポーネント |
コンピューターのブルート フォースの試み
形容: このアルゴリズムは、過去 1 日にコンピューターごとに異常に大量のログイン試行 (セキュリティ イベント ID 4625) が失敗したことを検出します。 このモデルは、過去 21 日間のWindows security イベント ログでトレーニングされています。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | ログのWindows Security |
| MITRE ATT&CK の戦術: | 資格情報Access |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
ユーザー アカウントのブルート フォースの試み
形容: このアルゴリズムは、過去 1 日のユーザー アカウントごとに、異常に大量の失敗したログイン試行 (セキュリティ イベント ID 4625) を検出します。 このモデルは、過去 21 日間のWindows security イベント ログでトレーニングされています。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | ログのWindows Security |
| MITRE ATT&CK の戦術: | 資格情報Access |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
ログインの種類ごとのユーザー アカウントのブルート フォースの試み
形容: このアルゴリズムは、過去 1 日のログオンの種類ごとに、ユーザー アカウントごとに異常に大量の失敗したログイン試行 (セキュリティ イベント ID 4625) を検出します。 このモデルは、過去 21 日間のWindows security イベント ログでトレーニングされています。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | ログのWindows Security |
| MITRE ATT&CK の戦術: | 資格情報Access |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
エラーの理由ごとのユーザー アカウントのブルート フォースの試み
形容: このアルゴリズムは、過去 1 日の失敗の理由ごとに、ユーザー アカウントごとに異常に大量の失敗したログイン試行 (セキュリティ イベント ID 4625) を検出します。 このモデルは、過去 21 日間のWindows security イベント ログでトレーニングされています。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | ログのWindows Security |
| MITRE ATT&CK の戦術: | 資格情報Access |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
マシンによって生成されたネットワーク ビーコン動作の検出
形容: このアルゴリズムは、繰り返しの時間差分パターンに基づいて、ネットワーク トラフィック接続ログからのビーコン パターンを識別します。 再帰時間差分において信頼されていない公衆ネットワークへのネットワーク接続がある場合、マルウェア コールバックまたはデータ流出の試みを示しています。 このアルゴリズムでは、同じ送信元 IP と宛先 IP の間の連続するネットワーク接続間の時間差分と、同じ送信元と宛先の間の時間差分シーケンス内の接続の数が計算されます。 ビーコンの割合は、1 日の合計接続数に対する時間差分シーケンス内の接続数として計算されます。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | CommonSecurityLog (PAN) |
| MITRE ATT&CK の戦術: | コマンドとコントロール |
| MITRE ATT&CK の手法: | T1071 - アプリケーション レイヤーのプロトコル T1132 - データのエンコード T1001 - データの難読化 T1568 - 動的な解像度 T1573 - 暗号化チャネル T1008 - フォールバック チャネル T1104 - マルチステージ チャネル T1095 - アプリケーション レイヤー以外のプロトコル T1571 - 標準以外のポート T1572 - プロトコル トンネリング T1090 - プロキシ T1205 - トラフィック シグナル T1102 - Web サービス |
DNS ドメインでのドメイン生成アルゴリズム (DGA)
Description: このmachine learning モデルは、DNS ログ内の過去 1 日の潜在的な DGA ドメインを示します。 このアルゴリズムは、IPv4 および IPv6 アドレスに解決される DNS レコードに適用されます。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | DNS イベント |
| MITRE ATT&CK の戦術: | コマンドとコントロール |
| MITRE ATT&CK の手法: | T1568 - 動的な解像度 |
Palo Alto GlobalProtect を使用した過剰なダウンロード
形容: このアルゴリズムは、Palo Alto VPN ソリューションを使用して、ユーザー アカウントごとの異常に大量のダウンロードを検出します。 このモデルは、過去 14 日間の VPN ログでトレーニングされます。 これは、前日のダウンロード数が異常に多いことを示します。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK の戦術: | Exfiltration |
| MITRE ATT&CK の手法: | T1030 - データ転送サイズの制限 T1041 - C2 チャネル経由のデータ流出 T1011 - 他のネットワーク メディア経由のデータ流出 T1567 - Web サービス経由のデータ流出 T1029 - スケジュールされた転送 T1537 - クラウド アカウントへのデータ転送 |
Palo Alto GlobalProtect を使用した過剰なアップロード
形容: このアルゴリズムでは、Palo Alto VPN ソリューションを使用して、ユーザー アカウントごとに異常に大量のアップロードが検出されます。 このモデルは、過去 14 日間の VPN ログでトレーニングされます。 これは、前日のアップロード数が異常に多いことを示します。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK の戦術: | Exfiltration |
| MITRE ATT&CK の手法: | T1030 - データ転送サイズの制限 T1041 - C2 チャネル経由のデータ流出 T1011 - 他のネットワーク メディア経由のデータ流出 T1567 - Web サービス経由のデータ流出 T1029 - スケジュールされた転送 T1537 - クラウド アカウントへのデータ転送 |
次のレベルの DNS ドメインでのドメイン生成アルゴリズム (DGA) の可能性
Description: このmachine learning モデルは、通常とは異なる DNS ログの最終日のドメイン名の次のレベルのドメイン (第 3 レベルと上位) を示します。 これらは、ドメイン生成アルゴリズム (DGA) の出力である可能性があります。 この異常は、IPv4 および IPv6 アドレスに解決される DNS レコードに適用されます。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | DNS イベント |
| MITRE ATT&CK の戦術: | コマンドとコントロール |
| MITRE ATT&CK の手法: | T1568 - 動的な解像度 |
AWS 以外の送信元 IP アドレスからの疑わしい多数の AWS API 呼び出し
形容: このアルゴリズムは、過去 1 日以内に、AWS のソース IP 範囲外のソース IP アドレスから、ワークスペースごとにユーザー アカウントごとに異常に大量の AWS API 呼び出しを検出します。 このモデルは、送信元 IP アドレス別の 過去 21 日間の AWS CloudTrail ログ イベントでトレーニングされます。 このアクティビティは、ユーザーのアカウントが侵害されたことを示している可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK の戦術: | 初期Access |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
ユーザー アカウントからの疑わしい多数の AWS 書き込み API 呼び出し
形容: このアルゴリズムは、過去 1 日以内にユーザー アカウントごとに異常に大量の AWS 書き込み API 呼び出しを検出します。 このモデルは、ユーザー アカウント別の過去 21 日間の AWS CloudTrail ログ イベントでトレーニングされます。 このアクティビティは、アカウントが侵害されたことを示している可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK の戦術: | 初期Access |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
コンピューターへの疑わしい多数のログイン
形容: このアルゴリズムでは、過去 1 日にコンピューターごとに異常に大量のログイン (セキュリティ イベント ID 4624) が検出されます。 このモデルは、過去 21 日間の Windows Security イベント ログでトレーニングされています。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | ログのWindows Security |
| MITRE ATT&CK の戦術: | 初期Access |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
管理者特権のトークンを使用したコンピューターへの疑わしい多数のログイン
形容: このアルゴリズムは、最後の日にコンピューターごとに管理特権を持つ異常に大量の成功したログイン (セキュリティ イベント ID 4624) を検出します。 このモデルは、過去 21 日間の Windows Security イベント ログでトレーニングされています。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | ログのWindows Security |
| MITRE ATT&CK の戦術: | 初期Access |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
ユーザー アカウントへの疑わしい多数のログイン
形容: このアルゴリズムは、過去 1 日のユーザー アカウントごとに異常に大量のログイン (セキュリティ イベント ID 4624) を検出します。 このモデルは、過去 21 日間の Windows Security イベント ログでトレーニングされています。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | ログのWindows Security |
| MITRE ATT&CK の戦術: | 初期Access |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
ログオンの種類ごとのユーザー アカウントへの疑わしい多数のログイン
形容: このアルゴリズムは、過去 1 日のログオンの種類ごとに、ユーザー アカウントごとに異常に大量の成功したログイン (セキュリティ イベント ID 4624) を検出します。 このモデルは、過去 21 日間の Windows Security イベント ログでトレーニングされています。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | ログのWindows Security |
| MITRE ATT&CK の戦術: | 初期Access |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
管理者特権のトークンを使用したユーザー アカウントへの疑わしい多数のログイン
形容: このアルゴリズムは、過去 1 日の間に、ユーザー アカウントごとに管理特権を持つ異常に大量の成功したログイン (セキュリティ イベント ID 4624) を検出します。 このモデルは、過去 21 日間の Windows Security イベント ログでトレーニングされています。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能なmachine learning |
| データ ソース: | ログのWindows Security |
| MITRE ATT&CK の戦術: | 初期Access |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
次のステップ
- Microsoft Sentinel でmachine learning生成された異常について説明します。
- 異常ルールを操作する方法について説明します。
- Microsoft Sentinel を使用してインシデントを調査します。